Как сообщил исследователь в области безопасности Патрик Уордл, операционная система macOS создает и кеширует миниатюры изображений и других типов файлов, которые потом хранит в защищенных паролем разделах жесткого диска.
Проблема заключается в том, что эти кешированные миниатюры хранятся на незашифрованных жестких дисках в известном месте. Следовательно, их легко можно извлечь с помощью вредоносных программ или инструментов для форензики.
Миниатюры создаются Finder и QuickLook. Всякий раз, когда пользователь переходит к новой папке, Finder автоматически загружает значки для расположенных в ней файлов. В случае с изображениями миниатюры заменяются эскизами.
В последней версии macOS Apple добавила новую функцию Finder под названием QuickLook. Она позволяет быстро просматривать изображения, нажав на клавишу «пробел».
В основе работы этой функции лежит не что иное, как эскизы изображений, созданные Finder. Эти эскизы и миниатюры хранятся в одном месте:
$TMPDIR/../C/com.apple.QuickLook.thumbnailcache/
Таким образом, пользователи могут просто не знать, что их данные могут просочиться через кешированные эскизы или функцию QuickLook.
Для удаления миниатюр Уордл предлагает выполнить следующие две команды:
$ rm -rf $TMPDIR/../C/com.apple.QuickLook.thumbnailcache
$ sudo reboot
Пред этим надо размонтировать зашифрованный контейнер.
