هشدار محققان درباره

حفره امنیتی در سیستم عامل مک که منجر به نشت اطلاعات حساس از درایوهای رمزگذاری شده می‌شود

محققان امنیتی پیش از این بارها درباره یک مشکل قدیمی در قابلیت «Quick Look» سیستم عامل مک هشدار داده بودند که بررسی‌های جدید نشان می‌دهد در حال حاضر این قابلیت و ویژگی در نسخه جدید مک، محتویات فایل‌های ذخیره شده در درایو‌های رمزگذاری شده را در معرض افشا قرار می‌دهد.

قابلیت «Quick Look» در سیستم‌ عامل مک، یک قابلیت نسبتا قدیمی است که امکان بازبینی کلی تصاویر، فایل‌ها و پوشه‌ها را بدون نیاز باز کردن آن‌ها فراهم می‌سازد. این قابلیت به‌صورت پیش‌فرض برای پیش‌نمایش تمام فایل‌های تصاویر موجود در دستگاه، فایل‌هایی با عنوان ریز عکس «Thumbnail» ایجاد می‌کند که این مساله درمورد اطلاعات و تصاویر رمزگذاری شده نیز صدق می‌کند.

موضوع نگران کننده درمورد کارکرد قابلیت «Quick Look» این است که اگر شما تصاویری روی یک هارد درایو رمزگذاری شده داشته باشید، ریز عکس‌های آن در یک فضای رمزگذاری نشده، مانند دیسک اصلی دستگاه ذخیره می‌شوند و همین مساله می‌تواند منجر به افشاء اطلاعات حساس برای برخی از کاربران در شرایط خاص شود.

پاتریک وردل، محقق امنیتی شرکت آبجکتیو سی «Objective See» که طی سالیان اخیر به‌صورت ویژه در زمینه امنیت سیستم‌ عامل مک فعالیت کرده است، با ابراز نگرانی درمورد این حفره امنیتی می‌گوید:

این مشکل که حدودا قدمتی هشت ساله دارد است، می‌تواند پیامدهای امنیتی مختلفی برای کاربران به‌همراه بیاورد و در حال حاضر در آخرین نسخه سیستم عامل مک، کماکان کاربران در معرض خطرات پنهان این حفره امنیتی هستند. از طرفی کاربران مک به‌طور گسترده از ابعاد این مشکل بی‌اطلاع هستند و همین باعث به‌وجود آمدن بحث‌های بیشتر درمورد آن می‌شود.

وردل معتقد است اگر یک مهاجم یا مجری قانون به سیستم در حال اجرای کاربر دسترسی داشته باشد، حافظه رمزگذاری شده‌ای که روی دستگاه باز نیست - برای مثال هارد دیسکی که به دستگاه کاربر متصل بوده و رمزگشایی نشده است - خواهد توانست به ریز عکس‌ها و سایر اطلاعات او دسترسی یابد. این مشکل حتی درمورد حافظه‌های رمزگذاری شده‌ای که به دستگاه متصل نیستند نیز صدق می‌کند.

اطلاعات ذخیره شده توسط Quick Look در یک دیتابیس موقت

محققان برای اثبات خطرات احتمالی این حفره امنیتی، اطلاعات و تصاویر مختلفی را به‌صورت آزمایشی با استفاده از نرم‌افزار رمزگذاری VeraCrypt و همینطور درایو HFS+/APFS محافظت شده توسط گذرواژه را مورد بررسی قرار داده‌اند که مشخصا نتایج نشان می‌هد ریز عکس تصاویر رمزگذاری شده در فضای رمزگذاری نشده سیستم عامل مک ایجاد و ذخیره شده‌اند.

فایل‌های ایجاد شده توسط قابلیت ریز عکس سیستم عامل مک

به گفته محققان برطرف کردن این حفره امنیتی برای شرکت اپل موضوعی بسیار آسان است. اما با توجه به اینکه تا به امروز اقدامی برای رفع این مشکل انجام نشده است، پیشنهاد می‌شود که ذخایر اطلاعات Quick Look را پس از پایان استفاده از اطلاعات رمزگذاری شده‌ به‌صورت دستی پاک کنند.

برای حذف ریز عکس و سایر اطلاعات ایجاد شده می‌توانید از دستور زیر استفاده کنید:

 

$ rm -rf $TMPDIR/../C/com.apple.QuickLook.thumbnailcache

$ sudo reboot

 

 

توضیحات بیشتر در:

- Cache Me Outside