macOSの「Quick Look」機能が暗号化されたストレージのドキュメントや写真のキャッシュを暗号化しないまま保存してしまう問題が指摘される。

　macOSの「Quick Look」機能が暗号化されたストレージのドキュメントや写真をキャッシュとして暗号化しないまま保存してしまう問題が指摘されています。詳細は以下から。

　Appleは2007年に発売したMac OS X 10.5 LeopardからPDFや写真、その他様々なドキュメントを紐付けされたアプリを開くことなくプレビューできる「Quick Look」という機能を採用していますが、セキュリティ研究者のWojciech Regutaさんによると、このQuick Look機能は暗号化されたストレージ内のファイルも暗号化しないまま保存(キャッシュ)してしまう構造上の問題がるそうです。

It means that all photos that you have previewed using space (or Quicklook cached them independently) are stored in that directory as a miniature and its path. They stay there even if you delete these files or if you have previewed them in encrypted HDD or TrueCrypt/VeraCrypt container.

Your encrypted photos revealed in macOS cache – Wojciech Reguta

　この問題はHFS+/APFSの暗号化ストレージで再現でき、例えばダース・ベイダーの写真を暗号化ストレージに保存してQuick Lookを行うとXPCサービス“com.apple.quicklook.ThumbnailsAgent”がこの写真のキャッシュを作成し、SQLiteデータベースと共にローカルディレクトリに保存するそうで、

このデータベース(以下)にアクセスできるユーザーはオリジナルの写真のサイズ(1920×1080)より小さな写真(336×182)を見ることが可能で、Objective-SeeのPatrick WardleさんはQuick Lookのキャッシュの問題は古くから指摘されており、

$ find $TMPDIR../C/com.apple.QuickLook.thumbnailcache/ -type f -name "index.sqlite"
$find $TMPDIR../C/com.apple.QuickLook.thumbnailcache/ -type f -name "thumbnails.data"

この問題が気になるユーザーはMacのストレージ全体を暗号化するか、以下の”qlmanage”コマンドを利用してサムネイルのキャッシュを逐一パージすることを勧めています。

qlmanage -r cache

• Cache Me Outside – Objective-See
• Your encrypted photos revealed in macOS cache – Wojciech Reguta
• 暗号化されずにMac内に保存されている通知センターログを表示＆削除してくれるユーティリティ「AuRevoir」がリリース。