AgrandarWardle y Regula
Sin el conocimiento de muchas personas, una función de macOS que almacena en caché las imágenes en miniatura de los archivos pueden filtrar datos altamente confidenciales almacenados en unidades protegidas con contraseña y volúmenes cifrados, expertos en seguridad dijo el lunes.
Los cachés generados automáticamente solo pueden ser vistos por alguien que tiene acceso físico a una Mac o la infecta con malware, y el comportamiento ha existido en Mac durante casi una década. Todavía, el almacenamiento en caché se activa con una mínima interacción del usuario y causas habrá un registro permanente de archivos incluso después del original se elimina el archivo o la unidad USB o el volumen cifrado que almacenó los datos se desconectan de la Mac. Patrick Wardle y Wojciech Reguła, que son expertos en seguridad de macOS en Digita Security y SecuRing, respectivamente, dijo que para muchas personas, es innecesariamente arriesgado almacenar instantáneas de archivos relacionados con contraseñas u otros asuntos delicados en una carpeta desprotegida. En una entrada de blog publicado el lunes, escribieron:
Para una investigación forense o implante de vigilancia, esto La información podría resultar invaluable. Imagina tener un histórico registro de los dispositivos USB, archivos en los dispositivos e incluso miniaturas de los archivos … todos almacenados de forma persistente en un encriptado base de datos, mucho después de que se hayan eliminado los dispositivos USB (y quizás destruido).
Para los usuarios, la pregunta es: “¿Realmente quieres tu Mac? grabar las rutas de los archivos y las vistas previas en miniatura de los archivos en alguna / todas las memorias USB que hayas insertado en tu Mac? piensa que no …
Como señalan los investigadores, el almacenamiento en caché puede causar que haya un registro permanente de cada unidad que se conecta a una Mac. También crea una imagen en miniatura que puede filtrar detalles clave sobre muchos de las imágenes almacenadas en las unidades, así como protegidas con contraseña carpetas o volúmenes encriptados. Las miniaturas vivirán en un Base de datos SQLite almacenada indefinidamente en el sistema de archivos macOS.
Vistazo rápido
La forma más común en que se activa el almacenamiento en caché es cuando las personas usan una función de macOS conocida como Vista rápida para ver el contenido de un archivo sin el uso de la aplicación personalizada que normalmente se requiere para abrir el archivo. Cada vez que alguien usa Vista rápida para ver una foto o un archivo, macOS almacena una miniatura correspondiente que puede proporcionar un sorprendente cantidad de detalles, incluido el nombre completo de los archivos y rutas de archivo e imágenes en miniatura que muestran parte del contenido. Otra forma de activar el almacenamiento en caché es ver un archivo en la normalidad Ventana del buscador cuando está configurado para mostrar miniaturas grandes. Todas las fotos almacenados en la carpeta del escritorio también se almacenan en caché automáticamente como miniaturas
Las miniaturas permanecen incluso cuando se elimina el archivo original o la unidad se desconecta o se desmonta un volumen. Wardle y Reguła recomienda a las personas que eliminen manualmente la carpeta que almacena miniaturas cada vez que desconectan una unidad o volumen sensible. Los comandos: rm -rf $ TMPDIR /../ C / com.apple.QuickLook.thumbnailcache. Luego reiniciar sudo. Otra opción es ejecutar el comando ‘qlmanage -r cache’, que parece purgar el caché sin requerir un reinicio. manzana los representantes no respondieron a un correo electrónico buscando comentarios para esto enviar.
Una estrategia clave para asegurar las computadoras es controlar cuidadosamente a qué datos se les permite almacenar o tener acceso. Esta estrategia se puede socavar cuando macOS registra automáticamente los nombres de las unidades que se han conectado en el pasado y almacena miniaturas de archivos unidades de tienda. “Esta técnica es conocida y ayuda mucho en forense “, escribió Reguła,” pero sinceramente no sabía sobre esto antes de.”