macOS : fuite de données possible avec Coup d'œil

Le par  |  5 commentaire(s)
macos-quick-look

La fonction Quick Look de macOS peut permettre de retrouver en clair des données d'un ordinateur Mac en dépit d'un chiffrement.

Sur ordinateur Mac, la fonction Coup d'œil (ou Quick Look) de macOS permet d'avoir un aperçu du contenu d'un fichier sans avoir à l'ouvrir ou en lançant une application spécifique associée. Pour une image, une version en taille réduite est proposée. Pour un document avec du texte, un défilement est possible afin d'afficher une partie plus importante.

Chercheur en sécurité, Wojciech Regula a constaté que les données générées pour Quick Look (pour la création de miniatures) ainsi que le chemin d'accès complet au fichier sont stockés dans une partie non sécurisée sur le disque de l'ordinateur.

Cette procédure vaut également si l'aperçu du fichier a été opéré sur un volume de stockage chiffré. Par ailleurs, les données sont conservées même si le fichier cible est supprimé.

Dans une preuve de concept, Wojciech Regula prend des photos de Luke Skywalker et Darth Vader qu'il met dans un conteneur VeraCrypt (disque virtuel chiffré) et un disque chiffré HFS+ sur macOS. Il les ouvre avec Quick Look et repère la miniature en clair des images dans des répertoires à l'aide d'une commande.

Les aperçus, les métadonnées et les chemins d'accès sont stockés dans des fichiers de base de données SQLite. L'extraction des données n'est ainsi pas si simple.

sqlite
Ancien employé de la NSA et directeur de recherche chez Synack, Patrick Wardle a repris les trouvailles de Wojciech Regula sur son site Objective-See où il propose des outils gratuits de sécurité pour macOS. Il ajoute notamment qu'un même comportement peut être reproduit dans un conteneur APFS chiffré et protégé par mot de passe.

Afin d'avoir accès au cache des miniatures de Quick Look, cela laisse supposer d'avoir un accès physique au Mac, même si une infection par un malware pourrait éventuellement ouvrir d'autres moyens d'accès. En outre, si le disque principal est chiffré, ce sera aussi le cas pour le cache Quick Look. L'accès par un tiers devra alors se faire depuis un système en cours d'exécution.

Patrick Wardle livre des instructions pour nettoyer le cache Quick Look d'un ordinateur. À son habitude, il tacle le discours d'Apple en matière de confidentialité : " ' Chez Apple, nous pensons que le respect de la vie privée est un droit fondamental. […] Chaque produit Apple est pensé de A à Z pour protéger cela. ' … Malheureusement, le discours marketing et la réalité sont parfois en désaccord. "

Le problème soulevé par Wojciech Regula et Patrick Wardle remonterait à plusieurs années, et encore présent dans les récentes versions de macOS.

Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #2019107
"Les aperçus, les métadonnées et les chemins d'accès sont stockés dans des fichiers de base de données SQLite. L'extraction des données n'est ainsi pas si simple."

Si c'est que ça, c'est sur que c'est plus compliqué qu'un clic, mais c'est pas la mort non plus

https://linux.die.net/man/1/sqlite3

https://addons.mozilla.org/fr/firefox/addon/sqlite-manager/

"Afin d'avoir accès au cache des miniatures de Quick Look, cela laisse supposer d'avoir un accès physique au Mac, même si une infection par un malware pourrait éventuellement ouvrir d'autres moyens d'accès. En outre, si le disque principal est chiffré, ce sera aussi le cas pour le cache Quick Look. L'accès par un tiers devra alors se faire depuis un système en cours d'exécution."

Effectivement il suffit de récupérer la base SQLite avec un malware (qui de fait tournera sur le système en cours d'éxecution) et c'est gagné.
Rien n'oblige a avoir l'accès physique, cet accès rend juste les choses plus simples du pdv de l'attaquant (c'est quasiment toujours le cas)


Anonyme
Le #2019110
Je jette un "Coup d’œil " a tes données.
Le #2019133
Une fuite parmi tant d'autres...

Ha les fuites, ça fait couler de l'encre...

Perso, j'ai plus de périphérique google à la maison que d'habitants dans cette maison. (Bbox miami, android...) Bientôt certains parleront plus à leur google assistant qu'à leur parents, ba oui lui il sait tout. LOL

google ou un autre, même combat.

A partir de ce constat, plus rien ne surprend.
Le #2019137
Tant que des gens pourront utiliser des faux fastpass à Disney, le monde ne sera pas merveilleux !
Le #2019151
youpiyo a écrit :

Tant que des gens pourront utiliser des faux fastpass à Disney, le monde ne sera pas merveilleux !


Techniquement, ce sont de vrais fastpass donnés à partir d'un scan de QR-Code généré à partir d'un numéro de billet qui ne t'appartient pas.

https://www.bfmtv.com/tech/disneyland-paris-un-hacker-trouve-une-faille-pour-ne-plus-faire-la-queue-1456202.html

Nul doute que ce sera vite réglé en modifiant la manière dont sont choisis les numéros de billet.

Merci pour la news !
Suivre les commentaires
Poster un commentaire
Anonyme