19.6.2018 14:00 | Bezpečnosť

Chyba v macOS môže odhaliť obsah zašifrovaných súborov

Chyba v systéme, sa týka dynamických diskových obrazov (Ilustračná snímka).
Vyšetrovatelia radi využívajú túto slabinu (Ilustračná snímka). Zdroj: Shutterstock

Chyba je známa už minimálne osem rokov. Doteraz nebola opravená.

Bezpečnostní experti upozornili na chybu v operačnom systéme macOS, kvôli ktorej je šifrovanie súborov takpovediac zbytočné. Štandardná funkcia systému totiž nenápadne vytvára náhľady všetkých otvorených obrázkov a údajne aj ďalších dokumentov. Pritom nezáleží, či bol zdrojový súbor zašifrovaný alebo nie.

Bližšie informácie o hrozbe zverejnil portál ZDNet.

Funkcia, ktorá uľahčuje prácu

Štandardnou súčasťou systému macOS je okrem iného aj funkcia známa pod názvom „Quick Look“. V praxi ide o jednoduchý modul, ktorý generuje náhľady pre každý súbor, respektíve priečinok. Vďaka tomu môže používateľ rýchlo pristupovať k žiadanému súboru bez toho, aby ho musel prácne hľadať.

Napríklad, ak hľadáme konkrétnu fotografiu z dovolenky, tak nemusíme poctivo otvárať všetkých tisíc obrázkov. Stačí prezrieť náhľady a vybrať tú správnu fotku.

Náhľad sa vytvorí aj z niektorých textových dokumentov. fotogaléria / 4
Náhľad sa vytvorí aj z niektorých textových dokumentov. Zdroj: Objective-See

Funkcia, ktorá bola navrhnutá pre maximalizáciu používateľského komfortu však obsahuje pomerne vážnu slabinu. Všetky náhľady sú totiž uložené v nezašifrovanej podobe na pevnom disku.

Na tom by nebolo možno nič prekvapivé, pokiaľ by sa takto neukladali aj náhľady súborov pochádzajúcich zo zašifrovaných diskov alebo kontajnerov. Navyše sa vo forme náhľadu ukladá aj obsah textových dokumentov.

Šifrovanie nepomôže

Počítačoví experti v rámci výskumu vytvorili zašifrovanú jednotku typu HFS+/APFS a šifrovaný kontajner s využitím softvéru VeraCrypt. Do chráneného prostredia potom uložili obrázok, ktorý sa samozrejme zobrazil aj vo forme náhľadu.

Náhľady uložené v lokálnom nezašifrovanom súbore. fotogaléria / 4
Náhľady uložené v lokálnom nezašifrovanom súbore. Zdroj: Objective-See

Po odpojení zašifrovaných jednotiek vyhľadali priečinok obsahujúci všetky náhľady. Ten sa nachádza v umiestnení „$TMPDIR/../C/com.apple.QuickLook.thumbnailcache/“. Výskumníci napokon spustili niekoľko jednoduchých príkazov. Výstupom bola celá cesta k pôvodnému súboru a miniatúrny náhľad obrázku, ktorý sa pôvodne nachádzal na zašifrovanom médiu.

Skutočná veľkosť náhľadu zašifrovaného súboru. fotogaléria / 4
Skutočná veľkosť náhľadu zašifrovaného súboru. Zdroj: Objective-See

V praxi to znamená, že náhľady všetkých obrázkov, prípadne dokumentov, ktoré boli v minulosti otvorené sa nachádzajú v uvedenom adresári.

Chyba je známa osem rokov

Experti upozorňujú, že uvedená chyba je známa už minimálne osem rokov, pričom nebola do dnešného dňa riadne opravená. Aktuálny výskum má preto otvoriť širšiu diskusiu a prinútiť spoločnosť Apple, aby uvoľnila zodpovedajúcu záplatu.

Riešenie pritom nie je nijak zložité. Podľa výskumníkov stačí zakázať tvorbu náhľadov pri šifrovaných kontajneroch alebo vymazať vyrovnávaciu pamäť vždy po odpojení chráneného zväzku. Kým však nebude chyba opravená, používatelia môžu v rámci prevencie využiť dvojicu príkazov.

Manuálne odstránenie náhľadov v macOS:

$ rm -rf $TMPDIR/../C/com.apple.QuickLook.thumbnailcache
$ sudo reboot

Špeciálny príkaz pre odstránenie náhľadov v macOS:

$ qlmanage -r cache

Na záver už len dodáme, že uvedenú slabinu radi využívajú súdni znalci či policajní vyšetrovatelia v trestnom konaní. Ak má totiž podozrivá osoba v počítači nejaké zašifrované materiály, práve niekoľko náhľadov môže pomôcť pri jej usvedčovaní.

Diskusia 0 Príspevkov