C’è un Bug Quick Look di macOS che consente di visualizzare documenti e foto, anche da supporti cifrati. È quanto scoperto da Wojciech Regula, un ricercatore esperto in sicurezza informatica. La debolezza alla quale fa riferimento il ricercatore è in “Quick Look” (in italiano “Visualizzazione rapida”) la funzionalità di che permette di visualizzare foto, file o una cartella senza aprirli (basta selezionare uno o più elementi e premere la barra spaziatrice per “sbirciare” all’interno di un file).
Nel blog di Regula, è spiegato che il meccanismo di Apple è favoloso per controllare al volo il contenuto dei file senza bisogno di aprirli con applicazioni dedicate; basta, ad esempio, selezionare e premere la barra spaziatrice su un file xlsx per vedere il contenuto di un file Microsoft Excel anche se quest’ultimo programma non è installato nel sistema.
Leggendo il volume “OS Internals Volume I”, Regula si è soffermato sul paragrafo che parla di Quicklook, individuando il servizio che genere le thumbnails (le miniature) con le anteprime in formato ridotto dei file. Il problema al quale fa riferimento il ricercatore è oggetto di discussione da anni: Apple memorizza i file di cache delle thumbnail con modalità non cifrate ed è in pratica possibile ottenere anteprime di dimensioni minuscole anche di file memorizzati su container cifrati.
Una prova concettuale di com’è possibile sfruttare il bug è stata mostrata da Regula salvando due immagini in due container cifrati separati, uno creato con VeraCrypt (applicazione per la cifratura “al volo” di file e interi dischi) e un secondo macOS cifrato HFS+/APFS. Il ricercatore è stato in grado di individuare le due immagini, il loro percorso completo con uno script python e ottenere accesso alle versioni in miniatura delle immagini.
È possibile sfruttare la falla anche con unità USB collegate al sistema, tenendo conto delle thumbnails memorizzate sul drive di avvio del computer host. È fondamentale ribadire che questa falla di Quick Look non offre accesso ai contenuti ma solo all’anteprima generata dal sistema, elemento che, in alcuni casi, potrebbe però permettere di individuare dati riservati. Apple può risolvere il problema in vari modi, ad esempio, eliminando i file di cache per le thumbnail quando un volume viene “smontato”. È anche possibile eliminare manualmente i file di cache creati dal sistema per le thumbnail usando l’utility qlmanage.
