Die praktische macOS Funktion QuickLook, die per Druck auf die Leertaste eine schnelle Vorschau einer Datei erstellt, ist eine ziemliche Sicherheitslücke.

Der Sicherheitsforscher Wojciech Reguła hat vor zwei Wochen auf seinem Blog und dann vor einigen Tagen nochmal in diesem Blog ausführlich beschrieben, das die QuickLook Funktion eine ziemliche Sicherheitslücke ist.

Das liegt darin begründet, dass die Funktion zur schnelleren Anzeige kleine Vorschaubilder generiert und in einer nicht verschlüsselten Datenbank anlegt. Das ist soweit kein Problem, da ja auch die Daten frei zugänglich sind. Wer sich nun jedoch entscheidet, wichtige Dokumente oder Fotos zu verschlüsseln und dafür beispielsweise die Software VeraCrypt verwendet, wähnt sich fälschlicherweise auf der sicheren Seite. Die Dateien selbst sind zwar nun verschlüsselt, die Vorschaubilder bleiben aber in der unverschlüsselten Datenbank mit den Thumbnails erhalten. Und noch schlimmer: solltet Ihr einen verschlüsselten Ordner geöffnet haben und dann QuickLook zum erstem Mal nutzen (bisher kein Vorschaubild vorhanden), so wird ein frisches Vorschaubild generiert – und ja, wieder unverschlüsselt gespeichert.

Do you really want your Mac recording the file paths and ‘previews’ thumbnails of the files on any/all USB sticks that you’ve ever inserted into your Mac?

Und es kommt noch dicker: Dieser Vorgang wird auch für alle angeschlossenen Datenträger gelistet. D.h. wenn ihr mal einen USB Stick mit peinlichen Partybildern angeschlossen hattet und diese mit QuickLook angesehen habt, so existieren der Hinweis auf den Stick und alle Vorschaubilder immer noch auf Eurem Mac. Das ganze soll seit Jahren bekannt sein und wird anscheinend auch in der Forensik genutzt. Denn was ist praktischer als eine Liste mit Aufzeichnung aller jemals angeschlossenen Datenträger incl. sämtlicher Vorschaubilder? Eben.

Wer dieses Verhalten abstellen möchte, hat nur eine Möglichkeit: QuickLook nicht mehr nutzen, damit keine Vorschaubilder generiert werden. Alle bisher aufgelaufenen lassen sich mit diesem Terminalbefehl löschen:

[cc]qlmanage -r cache[/cc]

Wenn Ihr nicht wollt, dass Euer Mac eine Auflistung über angeschlossene Datenträger führt, so müsst Ihr den QuickLook Cache dann nach jedem Datenträger löschen. Solltet Ihr Eure Festplatte mit FileVault verschlüsselt haben, so sind die Daten schonmal sicher, da ja die Festplatte verschlüsselt ist. Sollte der Mac aber laufen bringt Euch das auch nichts, weil die Platte ja beim Hochfahren entschlüsselt wird und die Vorschaubilder eben klar einsehbar sind.

Unfassbar allerdings, dass auch Aufzeichnungen über alle jemals verbundenen Datenträger existieren. Da trägt man wirklich ein Tagebuch für Geheimdienste mit sich herum. Ruft mal den kompletten Bericht von Wojciech Reguła auf und lest es Euch durch, es ist sehr aufschlussreich.

Close