macOSには、非常に実用的な機能があります。その1つが、クイックルック(Quick Look)です。Finderでファイルや画像を選んだ後、スペースキーを押すとその中身をプレビューすることができるという機能です。使っている方も多いのではないでしょうか。しかしこの実用的な機能に最近セキュリティホールが見つかりました。このクイックルック機能の機構そのものに問題があり、ユーザの暗号化されたデータが容易に漏洩する危険があるというのです。
セキュリティリサーチャーのWojciech Regula氏がこの問題を初めて発見し、the hacker news上でこのバグについて発表しました。macOSのQuick Look機能は、ファイルやフォルダに対してプレビュー用の縮小画像が生成され、記憶媒体(SSDやハードディスク)の特定の場所にキャッシュされることで実現しています。そしてユーザがQuick Look機能を使用する(スペースキーを押してプレビューを表示する)と、システムはこのキャッシュされた縮小画像を読みに行って表示する、という仕組みになっています。
しかしRegula氏は、この縮小画像がMacの暗号化された記憶領域ではなく、開放された場所に保管されるという問題を指摘しています。そうなると、どうなるのでしょうか?我々があるファイルを暗号化ファイルにしたとして、ファイルそのものは保護を受けますが、Quick Lookで保存されたキャッシュファイルは完全に暴露されてしまうということで、実際は暗号化してもしなくても一緒ということになってしまうのです。
自らの判断が正しいことを証明するために、Regula氏は2つの暗号化ファイルを作りました。1つは専用のソフトウェアで暗号化したもの、そしてもう1つはmacOSにデフォルトで備わっているHDS+/APFSドライブによるものです。そして簡単なコマンドを実行すると、後者のmacOSデフォルトのファイルの方は、非常に容易にパス(位置)とキャッシュファイルが見つかってしまいます。
これについてRegula氏は、このバグはシステムが入った暗号化されたドライブだけではなく、USBなど外部ドライブも同様で、Macに接続された後、システムが自動的にキャッシュファイルを作ることを指摘しています。
その後、同じくデジタルセキュリティ研究家のPatrick Wardle氏は、この問題は少なくとも8年以上存在していて、決して新しいバグではないとしています。ただ、Appleはこの問題を修正するのは非常に簡単なはずで、暗号化されたファイルに対してQuick Lookを行えないようにすればいいだけだとしています。私個人的には、クイックルックの機能の制限をするのではなく、キャッシュファイルを暗号化したところに保存するよう切り替えて、引き続きクイックルックの機能を使えるようにしてもいいのではないかと思います。
このQuick Lookのセキュリティホールについて、今後のAppleの動きに注目ですね。次のmacOS 10.13.6或いは次世代macOS 10.14で修正してくるかもしれません。
記事は以上です。
(記事情報元:the hacker news)