Back
'Quick Look in macOS is lek'

‘Quick Look in macOS is lek’

De functie Quick Look in macOS blijkt lek. Dat hebben twee beveiligingsonderzoekers ontdekt. Quick Look is een functie op de Mac waarmee de gebruiker alle bestanden van tevoren kunnen bekijken, alvorens deze te openen. Hiervoor hoeft alleen het bestand geselecteerd te worden en een toetsaanslag op de spatiebalk plaats te vinden.

Versleutelde gegevens openbaar via Quick Look

De Snelle Weergave, of Quick Look, kan via de cache versleutelde gegevens lekken. Een indringer kan op de Mac daardoor versleutelde informatie bekijken. Onder meer forensische instanties zouden al gebruik maken van het lek.

Het komt erop neer dat Quick Look een thumbnail van een bestand opslaat, ook als het bestand versleuteld is. Deze thumbnails worden in de cache opgeslagen en zijn vanuit daar te benaderen, zelfs als het origineel verwijderd is.

Grotere rol voor Quick Look in macOS Mojave

Dat Quick Look lek blijkt te zijn, is zorgelijk. Apple geeft Quick Look in macOS Mojave namelijk een grotere rol. De snelle weergave wordt nog verder uitgebreid, waardoor ook bewerkingen uit te voeren zijn. Zo kunnen bijvoorbeeld afbeeldingen bewerkt worden of tekst worden uitgevoerd zonder het bijbehorende programma te openen.

De onderzoekers Patrick Wardle en Wojchiech Regula brachten het lek aan het licht. Dat deden ze in een blogpost, waarin de technische aard van het probleem wordt uitgelegd. Zo laten de onderzoekers zien hoe een foto van – in dit geval – Luke Skywalker te achterhalen is. Met de techniek is het zelfs mogelijk bij bestanden uit een APFS-container te komen, waar een extra wachtwoord op zit.

Versleutelde foto’s zichtbaar

Met deze methode kunnen zelfs versleutelde foto’s zichtbaar gemaakt worden. Daarbij wordt niet het originele bestand aangedaan, maar krijgt de indringer een kleiner formaat te zien. Dat werkt niet alleen voor foto’s, maar ook voor tekstbestanden. Dat blijkt uit een proef van Patrick Wardle.

De onderzoekers stellen dat het niet zo eenvoudig is om de gegevens van de Mac te zien als de Mac zelfs is uitgeschakeld, omdat de schijf van de Mac zelfs versleuteld is. Zodra iemand toegang heeft tot een ingeschakeld systeem, wordt het verhaal anders. Instanties kunnen bijvoorbeeld toegang krijgen tot het systeem.

Beveiliging ondermijnd

Volgens de onderzoekers heeft Apple gepoogd met zogenaamde ‘encrypted containers’ de beveiliging op orde te stellen, maar wordt de beveiliging compleet ondermijnd. Het lek met Quick Look zorgt ervoor dat indringers misbruik kunnen maken van bestanden die in eerste instantie versleuteld zouden moeten zijn.

Wat weet Apple?

Of de onderzoekers Apple hebben ingelicht over het lek, wordt niet bekend uit de blogpost. Het kan zijn dat Apple al op de hoogte is over het lek en er snel een fix wordt uitgebracht, maar het kan ook zijn dat dit nog even duurt.

Wie zeker wil weten dat het lek niet toe te passen is op zijn of haar systeem, leegt regelmatig handmatig de cache van Quick Look. Onderzoeker Wardle laat in zijn blogpost zien hoe je dat doet.

Zorgen?

Maak jij je zorgen over de beveiliging van je Mac? Welke maatregelen neem jij om de beveiliging van je Mac op orde te houden?

Reageer

Deze website gebruikt Akismet om spam te verminderen. Bekijk hoe je reactie-gegevens worden verwerkt.