macOS: Thumbnail Cache manuell löschen – Sicherheitslücke in Quicklook

Schnell die Leertaste gedrückt und schon lässt macOS die Vorschau einer Datei anzeigen: Quicklook ist aus dem Alltag vieler Mac-Nutzer nicht mehr wegzudenken. Ob es sich dabei um Dokumente, Bilder oder Musik handelt; bei jeglichen Dateitypen lässt sich im Finder über die Leertaste die Vorschau, genannt Quicklook in macOS aufrufen. Leider birgt dieser Komfort nun eine Sicherheitslücke, welche es auf jeden Fall zu beachten gilt.

Quicklook speichert verschlüsselte Dateien als unverschlüsselte Thumbnails

Wer sein Laufwerk oder einen anderen Container verschlüsselt hat, um bei eventuellen Hacker-Angriffen seine Daten schützen will, sollte nun vorsichtig sein: macOS speichert die Dateien, die mittels Quicklook angezeigt wurden, als Thumbnail in der hauseigenen Thumbnail-Datenbank ab – und das permanent. Das Problem besteht also darin, dass nicht nur unverschlüsselte Dateien betroffen sind, sondern auch zuvor verschlüsselte oder schon längst gelöschte Dateien: Ist ein Dokument, ein Foto oder eine andere Datei mindestens einmal per Quicklook aufgerufen worden, lässt sich das Thumbnail ungehindert und unverschlüsselt über das User-Verzeichnis beispielsweise mittels eines SQLite-Browsers und eines modifizierten Skripts abrufen. Jeder modifizierte Code, der also im User-Kontext agiert, hat somit Zugriff auf zuvor verschlüsselte und sogar längst gelöschte Daten.

Vorläufiger Workaround

Zum Glück gibt es für den aktuellen Exploit einen Workaround: Nutzern, die Quicklook dennoch weiter verwenden möchten, wird empfohlen, den Mac Cache der Vorschau manuell zu löschen. Dies geschieht wie folgt:
1. Öffnet zunächst das Terminalfenster auf eurem Mac.
2. Tippt den Befehl „$ qlmanage -r cache“ ohne Anführungszeichen in das Prompt ein.
3. Startet euren Rechner neu!
Nach einem Reboot des Systems erstellt macOS eine neue Datenbank, die die alte überschreibt. Die zuvor frei verfügbaren Thumbnails eurer eigentlich verschlüsselten oder gelöschten Daten sind somit wieder sicher und nicht mehr in der Datenbank vorhanden.

Falls ihr allerdings keine Lust habt, ständig den Cache zu löschen, bleibt nur abzuwarten, bis Apple eine Lösung parat hat, welche sich für den Konzern einfach gestalten dürfte: MacOS müsste lediglich bei einem Auswerfen eines verschlüsselten Laufwerkes oder Containers den Cache automatisch löschen bzw. bei verschlüsselten Dateien, die mittels Quicklook betrachtet werden, erst gar kein Thumbnail in der Datenbank erstellen. Wichtig sei an dieser Stelle noch anzumerken, dass die Thumbnails nicht in voller Auflösung gespeichert werden. Dennoch lässt sich das Abbild dessen, was ihr zuvor verschlüsselt habt, gut im Thumbnail erkennen.