Hầu hết các bộ nhớ đệm hệ thống không yêu cầu xóa thường xuyên, nhưng một số bộ đệm có thể có nhược điểm, chẳng hạn như bộ nhớ cache Quick Look trên macOS. Bộ nhớ đệm có thể làm rò rỉ các bản xem trước của tệp từ các đĩa được mã hóa.
Tại sao bạn nên xóa Quick Look Cache trên macOS
Bộ nhớ cache Quick Look có thể kết thúc việc lưu trữ các bản xem trước của các tệp được mã hóa trong một bộ nhớ cache không được mã hóa. Do đó, một người theo dõi đầy đủ thông tin có thể xem các bản xem trước của các tệp được mã hóa của bạn mà không cần giải mã chính các tệp đó. Người dùng quan tâm đến bảo mật có thể thường xuyên xóa bộ nhớ cache.
Dịch vụ chính của Quick Look là “com.apple.quicklook.ThumbnailsAgent.” Thao tác này thu thập thông tin hệ thống và tạo bản xem trước. Những hình thu nhỏ này được lưu trữ trong cơ sở dữ liệu SQLite mà bất kỳ người dùng nào cũng có thể truy cập. Bộ nhớ đệm này lưu trữ các bản xem trước cho tất cả các tệp, cho dù chúng đã được Quick Look xem hay chưa.
Bộ nhớ cache có thể được tìm thấy trong “/ var / thư mục.” Từ đó, bạn sẽ cần phải tìm hiểu kỹ một chút để tìm thư mục có tên “com.apple.QuickLook.thumbnailcache” như hình dưới đây.
Đây có phải là vấn đề không?
Bất kỳ sự rò rỉ dữ liệu được mã hóa nào đều không mong muốn. Vấn đề này chủ yếu là mối quan tâm về hình ảnh. Họ có thể tiết lộ dữ liệu ngay cả ở kích thước giảm. Hình ảnh chưa được xem trước bằng Quick Look sẽ có 128 pixel ở cạnh dài nhất. Hình ảnh đã xem trong bộ nhớ cache sẽ gần gấp ba lần.
Các tệp không phải hình ảnh sẽ được lưu hình thu nhỏ của biểu tượng Trình tìm kiếm của chúng. Đây là một cái gì đó giống như trang được cuộn tròn với bản xem trước cho tệp TXT hoặc RTF. Bạn có thể xem ví dụ về loại bản xem trước được lưu trong bộ nhớ cache bên dưới.
Theo nhà nghiên cứu bảo mật gần đây nhất đã viết về lỗ hổng này, hình thu nhỏ vẫn tồn tại ngay cả sau khi tệp bị xóa. Hơn nữa, các bản xem trước Quick Look được lưu vào ổ USB sau khi loại bỏ chúng. Do đó, việc cắm ổ USB vào máy Mac để lại dấu vết có thể phát hiện được sau khi ổ đã được gỡ bỏ. Vì vậy, ngay cả khi hệ thống hiện không thể truy cập tệp gốc, bản xem trước có thể tiết lộ dữ liệu về tệp đó.
Xóa bộ nhớ cache trong Quick Look trên macOS
1. Mở Terminal từ “/Application/Utilities/Terminal.app” hoặc bằng cách nhập tên của ứng dụng vào Spotlight.
2. Dán lệnh sau vào Terminal, sau đó nhấn phím “Enter” để thực thi. Thao tác này sẽ ngay lập tức dừng dịch vụ Quick Look và xóa các tệp đã lưu trong bộ nhớ cache.
qlmanage -r cache
Tắt Quick Look Cache trên macOS
Lệnh trên sẽ làm trống bộ nhớ cache của Quick Look. Tuy nhiên, nếu vẫn hoạt động, bộ nhớ đệm sẽ ngay lập tức bắt đầu tích lũy lại các tệp, bất kể trạng thái mã hóa của chúng.
Để khắc phục điều này, bạn có thể vô hiệu hóa vĩnh viễn bộ nhớ cache. Điều này có thể làm chậm Quick Look xuống một chút, nhưng nó sẽ khắc phục được lỗ hổng bảo mật hiện có. Để tắt vĩnh viễn bộ nhớ đệm Quick Look, hãy thực hiện lệnh Terminal bên dưới:
qlmanage -r disablecache
Nếu bạn muốn bật lại bộ đệm Quick Look, hãy sử dụng enablecache
thay cho disablecache
.
Kết luận
Lỗ hổng này cuối cùng có thể sẽ được Apple vá lại. Tuy nhiên, Apple đã để nó ở đó đủ lâu để các chuyên gia pháp y máy tính coi đó là một phương pháp đáng tin cậy để lọc hình ảnh. Để bảo mật cao hơn, bạn có thể chạy quy trình này thường xuyên theo tập lệnh định kỳ hoặc theo cách thủ công sau khi tháo thiết bị USB.