WhiteHat News #ID:3333
VIP Members
-
04/06/2014
-
37
-
446 bài viết
Lỗi trên macOS làm lộ thông tin nhạy cảm từ ổ đĩa đã bị mã hóa
Các nhà nghiên cứu vừa cảnh báo về một trong những tính năng trên macOS của Apple vốn được thiết kế để thuận tiện cho người dùng nhưng lại có khả năng làm lộ nội dung của các tệp được lưu trữ trên các ổ đĩa được mã hóa bảo vệ bằng mật khẩu.
Đầu tháng này, nhà nghiên cứu bảo mật Wojciech Regula từ SecuRing đăng trên blog về tính năng "Quick Look" trong macOS giúp người dùng xem trước ảnh, tệp tài liệu hoặc thư mục mà không cần mở chúng.
Regula giải thích rằng tính năng Quick Look tạo ra hình thu nhỏ cho mỗi tệp / thư mục, giúp người dùng một cách thuận tiện để đánh giá tệp trước khi họ mở chúng.
Tuy nhiên, các hình thu nhỏ được lưu trữ trên ổ cứng không mã hóa của máy tính, ngay cả khi các tệp / thư mục đó thuộc về vùng chứa được mã hóa, điều này sẽ làm lộ một số nội dung đang được lưu trữ trên các ổ đĩa được mã hóa.
Patrick Wardle, giám đốc nghiên cứu của Digital Security, chia sẻ mối lo ngại này, nói rằng vấn đề này đã được biết đến từ ít nhất tám năm nay, tuy nhiên thực tế việc này vẫn tồn tại trong phiên bản mới nhất của macOS dù được người dùng Mac biết đến rộng rãi.
Để chứng minh điều này, Regula đã tạo ra 2 ổ đĩa được mã hóa mới, sử dụng phần mềm VeraCrypt và phần mềm thứ hai với các ổ đĩa HFS + / APFS được mã hóa macOS, sau đó lưu một bức ảnh vào đó.
Sau khi chạy một lệnh đơn giản trên hệ thống của mình, Regula đã có thể tìm thấy đường dẫn và tệp được lưu trong bộ nhớ cache cho cả hai hình ảnh bên ngoài các vùng chứa được mã hóa.
Trong một bài khác đăng trên blog, Wardle đã chứng minh rằng macOS hoạt động tương tự đối với các vùng chứa AFPS được mã hóa bảo vệ, cuối cùng lại làm lộ cả dữ liệu được mã hóa
Wardle cũng lưu ý rằng nếu bạn kết nối một ổ đĩa USB với máy tính Mac của bạn, hệ thống sẽ tạo ra hình thu nhỏ của các tập tin nằm trên ổ đĩa ngoài và lưu trữ chúng trên ổ đĩa khởi động.
Wardle tin rằng Apple sẽ dễ dàng giải quyết vấn đề này bằng cách không tạo bản xem trước nếu tệp nằm trong vùng chứa được mã hóa hoặc xóa bộ nhớ cache khi một ổ đĩa chưa được gỡ bỏ.
Wardles khuyên người dùng phải xóa bộ nhớ cache QuickLook theo cách thủ công khi họ ngắt kết nối vùng chứa được mã hóa.
Đầu tháng này, nhà nghiên cứu bảo mật Wojciech Regula từ SecuRing đăng trên blog về tính năng "Quick Look" trong macOS giúp người dùng xem trước ảnh, tệp tài liệu hoặc thư mục mà không cần mở chúng.
Regula giải thích rằng tính năng Quick Look tạo ra hình thu nhỏ cho mỗi tệp / thư mục, giúp người dùng một cách thuận tiện để đánh giá tệp trước khi họ mở chúng.
Patrick Wardle, giám đốc nghiên cứu của Digital Security, chia sẻ mối lo ngại này, nói rằng vấn đề này đã được biết đến từ ít nhất tám năm nay, tuy nhiên thực tế việc này vẫn tồn tại trong phiên bản mới nhất của macOS dù được người dùng Mac biết đến rộng rãi.
Để chứng minh điều này, Regula đã tạo ra 2 ổ đĩa được mã hóa mới, sử dụng phần mềm VeraCrypt và phần mềm thứ hai với các ổ đĩa HFS + / APFS được mã hóa macOS, sau đó lưu một bức ảnh vào đó.
Sau khi chạy một lệnh đơn giản trên hệ thống của mình, Regula đã có thể tìm thấy đường dẫn và tệp được lưu trong bộ nhớ cache cho cả hai hình ảnh bên ngoài các vùng chứa được mã hóa.
Trong một bài khác đăng trên blog, Wardle đã chứng minh rằng macOS hoạt động tương tự đối với các vùng chứa AFPS được mã hóa bảo vệ, cuối cùng lại làm lộ cả dữ liệu được mã hóa
Wardle cũng lưu ý rằng nếu bạn kết nối một ổ đĩa USB với máy tính Mac của bạn, hệ thống sẽ tạo ra hình thu nhỏ của các tập tin nằm trên ổ đĩa ngoài và lưu trữ chúng trên ổ đĩa khởi động.
Wardle tin rằng Apple sẽ dễ dàng giải quyết vấn đề này bằng cách không tạo bản xem trước nếu tệp nằm trong vùng chứa được mã hóa hoặc xóa bộ nhớ cache khi một ổ đĩa chưa được gỡ bỏ.
Wardles khuyên người dùng phải xóa bộ nhớ cache QuickLook theo cách thủ công khi họ ngắt kết nối vùng chứa được mã hóa.
Theo: The HackerNews