[Brisant] MacOS hebelt Festplatten-Verschlüsselung noch immer leicht aus

kendiman · 19.06.18, 11:49

Zitat:

MacOS hebelt Festplatten-Verschlüsselung noch immer leicht aus

Wer unter MacOS aus triftigen Gründen mit verschlüsselten Laufwerken arbeitet, sollte Vorsicht walten lassen. Denn das Betriebssystem von Apple unterläuft den Schutz der Krypto-Verfahren seit Jahren durch die bequeme Vorschau-Funktion im Finder. Eigentlich geschützte Inhalte können so von Unbefugten eingesehen werden.

Die Sicherheitsforscher Wojciech Reguła und Patrick Wardle haben jetzt in öffentlichkeitswirksameren Beiträgen dafür gesorgt, dass die Angelegenheit bekannter wird und so vielleicht auch der Druck auf Apple erhöht wird. In der Security-Szene und unter IT-Forensikern ist das Problem im Grunde seit Jahren bekannt und erstere hofften, die anderen befürchteten wohl seitdem, dass der Hersteller hier eines Tages Änderungen vornimmt.

Die Verschlüsselung wird konkret durch Thumbnails ausgehebelt. Wenn MacOS-Nutzer mit dem Finder (der Mac-Variante des Windows Explorers) in ein Verzeichnis wechseln, fertigt das System automatisch Thumbnails der Dateien an - und dies nicht nur von Bildern, sondern auch von diversen anderen Dokumenten. Das Icon lässt dann schon ein wenig erahnen, was in der Datei zu finden ist und durch das Drücken der Leertaste auf einem markierten File lässt sich eine größere Vorschau aufrufen, die im Grunde nur ein temporäres Foto des Dokumentes ist.

Unsicheres Cache-System

Das Problem besteht hier nun darin, dass MacOS die generierten Vorschaubilder stets im Thumbnail-Cache ablegt. Dies ist ein Verzeichnis, dass sich bei den meisten Nutzern in einem unverschlüsselten Bereich befindet. Anders sieht das lediglich dann aus, wenn der User ohnehin alles inklusive der Systempartitionen mit Kryptoverfahren vor fremden Blicken geschützt hat. Im Normalfall genügt also ein Blick in das fragliche Verzeichnis, um an Inhalte zu gelangen, die auf kodierten Festplatten oder USB-Sticks lagen, die in der letzten Zeit aufgerufen wurden.

Ob Apple darüber nachdenkt, das irgendwann zu ändern, ist derzeit unklar. Da es in der letzten Zeit aber wohl mehrfach Fälle gab, in denen repressive Staaten so an Informationen von Dissidenten gelangten, entschieden sich die beiden Sicherheitsforscher das Problem bekannter zu machen.

Im Zweifelsfall hilft es auch nach dem unmounten des geschützten Laufwerkes, den Thumbnail-Cache über das Terminal zu löschen und danach den Rechner neu zu starten:

$ rm -rf $TMPDIR/../C/com.apple.QuickLook.thumbnailcache
$ sudo reboot

Quelle: [ Link nur für registrierte Mitglieder sichtbar. Bitte einloggen oder neu registrieren ]