På Mac gemmes en skjult kopi, i lav opløsning, af alle de billeder du har slettet. De kompromiterende billeder af dig og ex-kæresten, kan dermed stadig ses.

Har du husket at slette alle “de kunstneriske billeder” dig og kæresten tog sidste sommer på Kreta? Hvis du har en Mac, så skal du være klar over, at selvom du har slettet billederne, så kan man faktisk finde billederne – dog i en noget lavere opløsning. På med sølvpapirshatten, for denne artikel er en af de rigtige grumme.

Denne flotte julemand thumibnail (af MereMobil.dks redaktør) er 300×169 pixels, hvilket er nogenlunde samme størrelse, som en stor thumbnail i macOS. Tryk på billedet for at se det i fuld størrelse (Foto: MereMobil.dk)

Netmediet Macrumors rapporterer om en 8 år gammel fejl i Quick Look funktionen på macOS, som gør det muligt at finde såkaldte thumbnails billeder. Fejlen gør det også muligt at se billeder, selvom man har slettet originalbilledet. Fejlen blev offentliggjort af sikkerhedsforskeren Wojciech Regula i sidste måned. I weekenden blev fejlen også beskrevet på sikkerhedsefterforskeren, Patrick Wardles blog.

Quick Look funktionen er den funktion, som man kan bruge til at vise billeder, tekst og videoklip i macOS’s filhåndtering Finder. Hvis man navigerer rundt i Finder, så kan man se alle billeder, video og tekst, som små thumbnails (små billeder) i stedet for blot at se filen som et filnavn.

Dette thumbnail gemmes på din Mac selvom originalfilen er slettet eller placeret på en ekstern harddisk eller en krypteret mappe, der f.eks. er krypteret med VeraCrypt.

Hvor høj er kvaliteten så på en thumbnail i databasen? Prøv at se billedet af julemanden til højre i denne artikel. Dette billede er cirka i samme størrelse som en normal thumbnail i macOS. Thumbnailen gemmen i en ikke-krypteret database komplet med originalfilens komplette sti på computerens primære harddisk.

Fik du slettet “feriebillederne”

En ondsindet hacker eller myndighed kan med relativ lethed få adgang til databasen og derefter se alle thumbnail-billederne. Det vil sige alle dine feriebilleder, familiebilleder og mindre familievenlige billeder kan ses i en lav opløsning komplet med originalfilen sti. Derfor er det let at finde frem til filens placering på f.eks. et krypteret drev eller ekstern harddisk.

Men det bliver værre endnu, for thumbnailen slettes ikke, selvom du sletter den originale fil. En ondsindet hacker eller myndighed kan via filens placering forsøge at genskabe originalfilen, da computerens filsystem ikke altid overskiver filen med det samme. Dette skyldes, at filen i nogle tilfælde ikke slettet fra computerens harddisk i det selvsamme øjeblik, hvor du trykker på slet-knappen. De billeder du troede du havde slettet, kan derved genskabes.

Og for at trykke sølvpapirshatten virkelig godt ned om ørene, så giver fejlen også mulighed for at smugkigge på indholdet af selv krypterede mapper. Altså indhold f.eks. krypteret med VeraCrypt. Hackere og myndigheder kan via fejlen faktisk se hele indholdet af det krypterede drev. Det er ikke så fedt, hvis man altså har noget man gerne vil holde for sig selv.

Men vore læsere har selvfølgelig ingen grund til bekymring, for de har selvfølgelig ikke billeder af ex-kæresten til at ligge på et krypteret drev eller andre fy-fy skamme filer… 🙂

Heldigvis kan man manuelt slette den omtalte databasen. I macOS kan man starte Terminalen og skrive qlmanage -r cache hvorefter man skal huske at genstarte computeren. Derefter vil hele Quick Look databasen blive slettet ved genstart.

På Patrick Wardles’s hjemmeside har sikkerhedsefterforskeren en udførlig beskrivelse af fejlen, som vores nysgerrige læsere kan gøre sig klogere på.

Mere til historien

Husk på, at du ikke ikke er paranoid, hvis de rent faktisk er efter dig!