Problema de seguridad en MAC, Falla podría revelar información en Discos Duros Encriptados

Investigadores de seguridad han anunciado una falla que tiene mas menos una década de antigüedad en la cual se puede potencialmente, obtener archivos almacenados en discos duros cifrados en MAC.

A comienzos de mes, el investigador Wojciech Regula de SecuRing publico en un blog, sobre Quick Look, una característica que ayuda a los usuarios a pre-visualizar fotos, documentos o carpetas sin la necesidad de abrirlos.

Regula explica que la característica de QuickLook ayuda a los usuarios a decidir mediante Thumbnail si debe o no aperturar el archivo, esto mediante imágenes en miniatura de los documentos, carpetas o imágenes.

El problema de esta característica, es que estas imágenes de Thumbnails, se almacenan en un sector no seguro del disco, esto implica que estos archivos pueden ser vistos o revisados incluso si el disco duro esta encriptado.

Patrick Wardle, director de investigación de Seguridad Digital, compartió igualmente la preocupación, diciendo que el problema se conoce desde hace mucho tiempo durante al menos ocho años, "sin embargo, el hecho de que el comportamiento todavía está presente en la última versión de macOS, y (aunque potencialmente graves implicaciones de privacidad), no es ampliamente conocido por los usuarios de Mac, garantiza una discusión adicional ".


Prueba de concepto.



El investigador guardo dos imágenes, una en un contenedor sin encriptación (Luke) y otro en un contenedor encriptado (HFS+ / APFS) (Darth-vader). Al realizar la previsualización de las imágenes ya entenderíamos que están en cache.

En Disco No Encriptado

En Disco Encriptado

El investigador por medio de la copia de las bases de datos de thumbnail es capaz de extraerlas y abrirlas en otro ambiente. Logrando extraer la información tanto del disco sin seguridad, y otro con seguridad.

Lamentablemente esto también ocurre para todo tipo de archivos

"Si desmontamos el volumen cifrado, las miniaturas del archivo (como se mencionó anteriormente) aún se almacenan en el directorio temporal del usuario y, por lo tanto, se pueden extraer", dijo Wardle.
"Si un atacante (o la policía) tiene acceso al sistema en ejecución, incluso si los contenedores cifrados protegidos por contraseña se desmontan (como así su contenido 'seguro'), esta 'característica' de almacenamiento en caché puede revelar sus contenidos".