대부분의 시스템 캐시는 정기적으로 지울 필요가 없지만 일부 캐시에는 macOS의 훑어보기 캐시와 같은 단점이 있을 수 있습니다. 캐시는 암호화된 디스크에서 파일 미리보기를 유출할 수 있습니다.
macOS에서 훑어보기 캐시를 지워야 하는 이유
훑어보기 캐시는 결국 암호화되지 않은 캐시에 암호화된 파일의 미리 보기를 저장할 수 있습니다. 결과적으로 충분한 정보를 얻은 snoop은 파일 자체를 해독하지 않고도 암호화된 파일의 미리보기를 볼 수 있습니다. 보안에 민감한 사용자는 캐시를 자주 지우는 것이 좋습니다.
Quick Look의 기본 서비스는 "com.apple.quicklook.ThumbnailsAgent"입니다. 그러면 시스템이 크롤링되고 미리 보기가 생성됩니다. 이러한 축소판은 모든 사용자가 액세스할 수 있는 SQLite 데이터베이스에 저장됩니다. 이 캐시는 훑어보기로 보았는지 여부에 관계없이 모든 파일에 대한 미리보기를 저장합니다.
캐시는 "/var/folders"에서 찾을 수 있습니다. 거기에서 아래와 같이 "com.apple.QuickLook.thumbnailcache"라는 폴더를 찾기 위해 조금 더 파고들어야 합니다.
이것이 문제입니까?
암호화된 데이터의 누출은 바람직하지 않습니다. 이 문제는 주로 이미지에 대한 문제입니다. 축소된 크기에서도 데이터를 표시할 수 있습니다. 훑어보기로 미리 보지 않은 이미지의 가장 긴 면은 128픽셀입니다. 캐시된 조회 이미지는 3배에 가깝습니다.
이미지가 아닌 파일에는 Finder 아이콘의 축소판이 저장됩니다. 이것은 TXT 또는 RTF 파일에 대한 미리보기가 있는 말린 페이지와 같은 것입니다. 아래에서 캐시된 미리보기 유형의 예를 볼 수 있습니다.
이 취약점에 대해 가장 최근에 작성한 보안 연구원에 따르면 파일이 삭제된 후에도 썸네일이 유지됩니다. 또한 USB 드라이브를 제거한 후 Quick Look 미리 보기가 저장됩니다. 따라서 USB 드라이브를 Mac에 연결하면 드라이브가 제거된 후에도 감지 가능한 흔적이 남습니다. 따라서 현재 시스템에서 상위 파일에 액세스할 수 없는 경우에도 미리 보기를 통해 해당 파일에 대한 데이터를 표시할 수 있습니다.
macOS에서 Quick Look 캐시 지우기
1. "/Applications/Utilities/Terminal.app"에서 또는 Spotlight에서 애플리케이션 이름을 입력하여 터미널을 엽니다.
2. 아래 명령을 터미널에 붙여넣고 "Enter" 키를 눌러 실행합니다. 이렇게 하면 Quick Look 서비스가 즉시 중지되고 캐시된 파일이 삭제됩니다.
qlmanage -r cache
macOS에서 Quick Look Cache 비활성화
위의 명령은 훑어보기 캐시를 비웁니다. 그러나 기능을 그대로 두면 암호화 상태에 관계없이 캐시가 즉시 파일을 다시 축적하기 시작합니다.
이 문제를 해결하기 위해 캐시를 영구적으로 비활성화할 수 있습니다. 이렇게 하면 Quick Look이 약간 느려질 수 있지만 기존 취약점을 해결할 수 있습니다. 훑어보기 캐시를 영구적으로 비활성화하려면 아래 터미널 명령을 실행하십시오.
qlmanage -r disablecache
훑어보기 캐시를 다시 켜려면 enablecache를 사용하세요. disablecache 대신 명령 .
결론
이 취약점은 결국 Apple에서 패치될 수 있습니다. 그러나 Apple은 컴퓨터 포렌식 전문가가 이미지를 추출하는 신뢰할 수 있는 방법으로 볼 수 있을 만큼 오랫동안 그대로 두었습니다. 보안 강화를 위해 이 프로세스를 반복되는 스크립트에서 정기적으로 실행하거나 USB 장치를 제거한 후 수동으로 실행할 수 있습니다.