Quick Look: Apples Schnellanzeige verrät Verschlüsseltes

Sicherheitsforscher machen derzeit auf einen Fehler in Apples macOS-Schnellanzeige aufmerksam, die dazu führen kann, dass Quick Look den Inhalt eigentlich verschlüsselter Dokumente preisgibt.

Thumbnails verschlüsselter Bilder bleiben sichtbar

Die Lücke, die seit mindestens acht Jahren bestehen soll, ist schnell beschrieben: Um euch Bilder und Videos nach dem Druck der Leertaste so schnell wie möglich anzuzeigen, erstellt Quick Look kleine Vorschaubilder, sogenannte Thumbnails der Inhalte.

Diese werden von dem Systemwerkzeug anschließend in der eigenen Datenbank notiert, verlinkt und auf der System-Festplatte gesichert. Das Problem: Quick Look speichert die Vorschaugrafiken auch, wenn das abgebildete Original aus dem Datenbestand vollverschlüsselter Festplatte stammt und kann so dafür sorgen, dass eigentlich geschützte Dateien einer verschlüsselten Festplatte, auf der unverschlüsselten System-Partition landen.

Ohne es böse zu meinen lässt Quick Look so Daten abfließen, die eigentlich verschlüsselt aufbewahrt werden sollten.

Über den Fehler selbst hatte der Security-Experte Wojciech Reguła bereits Anfang des Monats berichtet. Nun hat der ebenfalls auf Systemsicherheit spezialisierte Hacker Patrick Wardle das Thema mit einer eigenen Begutachtung noch mal ins Rampenlicht geschoben und merkt seinerseits an: Auch passwortgeschützte AFPS-Container sind von dem Datenabfluss betroffen.

Bis Apple hier nachbessert könnt ihr den Quick Look-Cache mit folgendem Terminal-Kommando manuell leeren:

qlmanage -r cache

Zum Nachlesen

• Apples „Quick Look“-Cache may Leak Encrypted Data
• Your encrypted photos revealed in macOS cache