Die Verschlüsselung wird konkret durch Thumbnails ausgehebelt. Wenn MacOS-Nutzer mit dem Finder (der Mac-Variante des Windows Explorers) in ein Verzeichnis wechseln, fertigt das System automatisch Thumbnails der Dateien an - und dies nicht nur von Bildern, sondern auch von diversen anderen Dokumenten. Das Icon lässt dann schon ein wenig erahnen, was in der Datei zu finden ist und durch das Drücken der Leertaste auf einem markierten File lässt sich eine größere Vorschau aufrufen, die im Grunde nur ein temporäres Foto des Dokumentes ist.
Unsicheres Cache-System
Das Problem besteht hier nun darin, dass MacOS die generierten Vorschaubilder stets im Thumbnail-Cache ablegt. Dies ist ein Verzeichnis, das sich bei den meisten Nutzern in einem unverschlüsselten Bereich befindet. Anders sieht das lediglich dann aus, wenn der User ohnehin alles inklusive der Systempartitionen mit Kryptoverfahren vor fremden Blicken geschützt hat. Im Normalfall genügt also ein Blick in das fragliche Verzeichnis, um an Inhalte zu gelangen, die auf kodierten Festplatten oder USB-Sticks lagen, die in der letzten Zeit aufgerufen wurden.Ob Apple darüber nachdenkt, das irgendwann zu ändern, ist derzeit unklar. Da es in der letzten Zeit aber wohl mehrfach Fälle gab, in denen repressive Staaten so an Informationen von Dissidenten gelangten, entschieden sich die beiden Sicherheitsforscher das Problem bekannter zu machen.
Im Zweifelsfall hilft es auch nach dem unmounten des geschützten Laufwerkes, den Thumbnail-Cache über das Terminal zu löschen und danach den Rechner neu zu starten:
$ rm -rf $TMPDIR/../C/com.apple.QuickLook.thumbnailcache
$ sudo reboot
$ sudo reboot
Immer wieder triviale Probleme:
2018-06-19T11:00:00+02:00Christian Kahle
Alle Kommentare zu dieser News anzeigen