Η Apple παρακολουθεί κάθε εφαρμογή Mac που εκτελείτε; Επεξήγηση OCSP

από
Tweet
Share
Share
Pin

Το Mac σας μεταφέρει πραγματικά το τηλέφωνο στην Apple κάθε φορά που εκκινείτε μια εφαρμογή; Αυτός είναι ο ισχυρισμός που κυκλοφορεί μετά τις 12 Οκτωβρίου 2020, όταν ένας διακομιστής της Apple έγινε αργός και οι σύγχρονοι Mac χρειάστηκαν πολύ χρόνο για να ανοίξουν εφαρμογές. Θα εξηγήσουμε τι συμβαίνει.

Πληροφορίες: Αυτό ισχύει τόσο για το macOS Big Sur όσο και για το macOS Catalina. Η επιβράδυνση και οι σχετικές ανησυχίες για το απόρρητο δεν είναι νέα στο macOS Big Sur.

Γιατί οι εφαρμογές Mac υπογράφονται με πιστοποιητικά προγραμματιστή

Σε Mac, οι εφαρμογές που κατεβάζετε —είτε από το Mac App Store είτε από τον Ιστό— υπογράφονται με πιστοποιητικό προγραμματιστή. Κάθε φορά που εκκινείτε μια εφαρμογή, ελέγχει την εφαρμογή για να επαληθεύσει ότι έχει υπογραφεί από νόμιμο προγραμματιστή και ότι δεν έχει παραβιαστεί. Αυτό σας βοηθά να προστατεύσετε από κακόβουλο λογισμικό.

Για παράδειγμα, όταν το Mozilla δημιουργεί τον Firefox, μεταγλωττίζει ένα αρχείο εφαρμογής Firefox και στη συνέχεια το υπογράφει με το πιστοποιητικό προγραμματιστή της Mozilla. Αυτός είναι ο τρόπος της Mozilla για να αποδείξει ότι το αρχείο είναι νόμιμο και δημιουργήθηκε από τη Mozilla. Εάν το αρχείο της εφαρμογής παραποιηθεί αργότερα, το Mac σας θα παρατηρήσει τη διαφορά.

Αυτά τα πιστοποιητικά ισχύουν μόνο για ένα ορισμένο χρονικό διάστημα—ίσως μερικά χρόνια—αλλά μπορούν να «ανακληθούν» νωρίς. Για παράδειγμα, εάν η Apple ανακαλύψει ότι ένας προγραμματιστής χρησιμοποιεί το πιστοποιητικό του για να υπογράψει κακόβουλες εφαρμογές, η Apple ανακαλεί το πιστοποιητικό. Οι Mac δεν θα φορτώνουν εφαρμογές με αυτό το πιστοποιητικό που έχει ανακληθεί.

Επεξήγηση OCSP: Γιατί το τηλέφωνο Mac σας είναι σπίτι;

Αλλά περιμένετε—πώς γνωρίζει ο Mac σας εάν η Apple έχει ανακαλέσει ένα πιστοποιητικό που σχετίζεται με μια εφαρμογή στο Mac σας; Για να ελέγξετε, το Mac σας χρησιμοποιεί κάτι που ονομάζεται Πρωτόκολλο Κατάστασης Πιστοποιητικού Online ή OCSP. Χρησιμοποιείται επίσης από προγράμματα περιήγησης ιστού για τον έλεγχο των πιστοποιητικών ιστότοπων κατά την περιήγησή σας.

Όταν εκκινείτε μια εφαρμογή, το Mac σας στέλνει πληροφορίες σχετικά με το πιστοποιητικό του σε έναν διακομιστή της Apple στη διεύθυνση ocsp.apple.com. Το Mac σας ρωτά αυτόν τον διακομιστή της Apple εάν το πιστοποιητικό έχει ανακληθεί. Εάν δεν έχει, ο Mac σας εκκινεί την εφαρμογή. Εάν το πιστοποιητικό έχει ανακληθεί, το Mac σας δεν θα εκκινήσει την εφαρμογή.

Συμβαίνει αυτό κάθε φορά που εκκινείτε μια εφαρμογή;

Το Mac σας θυμάται αυτές τις απαντήσεις για κάποιο χρονικό διάστημα. Στις 12 Νοεμβρίου 2020, οι απαντήσεις αποθηκεύτηκαν προσωρινά για πέντε λεπτά. Με άλλα λόγια, εάν ξεκινούσατε μια εφαρμογή, την έκλειναν και την εκκινούσατε ξανά τέσσερα λεπτά αργότερα, το Mac σας δεν θα χρειαζόταν να ρωτήσει την Apple για το πιστοποιητικό δεύτερη φορά. Ωστόσο, εάν ξεκινήσετε μια εφαρμογή, την κλείσατε και την εκκινούσατε έξι λεπτά αργότερα, το Mac σας θα έπρεπε να ρωτήσει ξανά τους διακομιστές της Apple.

  Γιατί τα smartphone δεν μπορούν να τραβήξουν θολές φωτογραφίες φόντου

Για οποιονδήποτε λόγο—ίσως λόγω αλλαγών στο macOS Big Sur—ο διακομιστής της Apple κατακλύστηκε και έγινε πολύ αργός στις 12 Νοεμβρίου 2020. Οι αποκρίσεις επιβραδύνθηκαν σημαντικά και οι εφαρμογές χρειάστηκαν πολύ χρόνο για να φορτωθούν καθώς οι Mac περίμεναν υπομονετικά μια απάντηση από την αργή ταχύτητα της Apple υπηρέτης.

Μετά από αυτό το συμβάν, ο διακομιστής OSCP της Apple λέει τώρα στους Mac να θυμούνται τις απαντήσεις εγκυρότητας πιστοποιητικού για 12 ώρες. Ο Mac σας θα τηλεφωνεί στο σπίτι και θα σας ρωτά για ένα πιστοποιητικό κάθε φορά που εκκινείτε μια εφαρμογή—εκτός εάν έχετε λάβει απάντηση τις τελευταίες 12 ώρες, οπότε δεν θα χρειαστεί. (Οι πληροφορίες σχετικά με τις χρονικές περιόδους εδώ προέρχονται από ανεξάρτητο προγραμματιστή εφαρμογών Τζεφ Τζόνσον.)

Τι γίνεται αν ένας Mac είναι εκτός σύνδεσης;

Ο έλεγχος OCSP έχει σχεδιαστεί για να αποτυγχάνει με χάρη. Εάν είστε εκτός σύνδεσης, το Mac σας θα παρακάμψει σιωπηλά τον έλεγχο και θα εκκινήσει κανονικά τις εφαρμογές.

Το ίδιο ισχύει εάν το Mac σας δεν μπορεί να φτάσει στον διακομιστή ocsp.apple.com—ίσως επειδή η διεύθυνση διακομιστή έχει αποκλειστεί στο δίκτυό σας σε επίπεδο δρομολογητή. Εάν το Mac σας δεν μπορεί να επικοινωνήσει με τον διακομιστή, παρακάμπτει τον έλεγχο και εκκινεί αμέσως την εφαρμογή.

Το πρόβλημα στις 12 Νοεμβρίου 2020 ήταν ότι ενώ τα Mac μπορούσαν να φτάσουν στον διακομιστή της Apple, ο ίδιος ο διακομιστής ήταν αργός. Αλλά αντί να αποτυγχάνουν σιωπηλά και να συνεχίσουν με την εκκίνηση μιας εφαρμογής, οι Mac περίμεναν πολύ καιρό για μια απάντηση. Εάν ο διακομιστής είχε απενεργοποιηθεί εντελώς, κανείς δεν θα το είχε προσέξει.

Ποιος είναι ο κίνδυνος απορρήτου; Τι μαθαίνει η Apple;

Υπάρχουν πολλές ανησυχίες για το απόρρητο που έχουν θίξει οι άνθρωποι εδώ. Αναφέρονται σε χάκερ και ερευνητής ασφάλειας Η συγκλονιστική άποψη του Τζέφρι Πολ για την κατάσταση.

Τα πιστοποιητικά συσχετίζονται με εφαρμογές: Όταν το Mac σας έρχεται σε επαφή με τον διακομιστή OCSP, ρωτά για ένα πιστοποιητικό που πιθανότατα σχετίζεται με μία εφαρμογή—ή, ίσως, με μερικές εφαρμογές. Τεχνικά, το Mac σας δεν λέει στην Apple ποια εφαρμογή έχετε εκκινήσει. Για παράδειγμα, εάν εκκινήσετε τον Firefox, η Apple μόλις μαθαίνει ότι έχετε ξεκινήσει μια εφαρμογή που δημιουργήθηκε από τη Mozilla. Θα μπορούσε να είναι Firefox ή Thunderbird, αλλά η Apple δεν ξέρει ποιο. Ωστόσο, εάν εκκινήσετε μια εφαρμογή υπογεγραμμένη από το Tor Project, η Apple μπορεί να έχει μια πολύ καλή ιδέα ότι έχετε ανοίξει το πρόγραμμα περιήγησης Tor.
Τα αιτήματα συσχετίζονται με διευθύνσεις IP και ώρες: Αυτά τα αιτήματα μπορούν, φυσικά, να συσχετιστούν με μια ημερομηνία και ώρα και τη διεύθυνση IP σας. Έτσι ακριβώς λειτουργεί το Διαδίκτυο. Η διεύθυνση IP σας σχετίζεται με μια συγκεκριμένη πόλη και πολιτεία. Κάθε αίτημα OCSP ενημερώνει την Apple στον προγραμματιστή που δημιούργησε την εφαρμογή που εκκινείτε, τη γενική τοποθεσία σας και την ημερομηνία και την ώρα που ξεκινήσατε την εφαρμογή.
Η έλλειψη κρυπτογράφησης σημαίνει ότι είναι δυνατή η παρακολούθηση: Το πρωτόκολλο OCSP δεν είναι κρυπτογραφημένο. Όχι μόνο η Apple λαμβάνει αυτές τις πληροφορίες – οποιοσδήποτε στη μέση μπορεί επίσης να δει αυτές τις πληροφορίες. Ο πάροχος υπηρεσιών διαδικτύου σας, ο διαχειριστής δικτύου στο χώρο εργασίας ή ακόμα και μια υπηρεσία κατασκοπείας που παρακολουθεί την κυκλοφορία στο Διαδίκτυο θα μπορούσε να κρυφακούει την κίνηση OSCP μεταξύ εσάς και της Apple και να μάθει όλες αυτές τις λεπτομέρειες. Αυτά τα αιτήματα περνούν επίσης από τρίτο μέρος δίκτυο διανομής περιεχομένου (CDN) με το όνομα Akamai. Αυτό τους επιταχύνει – αλλά προσθέτει έναν άλλο μεσάζοντα που θα μπορούσε τεχνικά να κατασκοπεύει.
Πληροφορίες: Το Mac σας δεν λέει στην Apple ποια εφαρμογή εκκινείτε. Αντίθετα, το Mac σας απλώς λέει στην Apple ποιος προγραμματιστής δημιούργησε την εφαρμογή που εκκινείτε. Φυσικά, πολλοί προγραμματιστές δημιουργούν απλώς μία εφαρμογή. Αυτή η τεχνική διάκριση συχνά δεν σημαίνει πολλά.

  Πώς να ξεκινήσετε στο "Animal Crossing: New Horizons"

(Θυμηθείτε: Με την αλλαγή στη συμπεριφορά προσωρινής αποθήκευσης, το Mac σας δεν ζητά πλέον από την Apple κάθε φορά που εκκινείτε μια εφαρμογή. Αυτό το κάνει μόνο κάθε 12 ώρες αντί κάθε 5 λεπτά.)

Γιατί το κάνει αυτό το Mac σας;

Όπως μπορείτε να περιμένετε, όλα αυτά αφορούν την ασφάλεια. Το Mac είναι μια πιο ανοιχτή πλατφόρμα από το iPad και το iPhone. Μπορείτε να κάνετε λήψη εφαρμογών από οπουδήποτε, ακόμα και εκτός του Mac App Store της Apple.

Για την προστασία του Mac από κακόβουλο λογισμικό—και ναι, το κακόβουλο λογισμικό Mac έχει γίνει πιο συνηθισμένο—η Apple εφάρμοσε αυτόν τον έλεγχο ασφαλείας. Εάν ανακληθεί ένα πιστοποιητικό που χρησιμοποιείται για την υπογραφή μιας εφαρμογής, το Mac σας μπορεί να ξεκινήσει αμέσως τη δράση και να αρνηθεί να ανοίξει αυτήν την εφαρμογή. Αυτό δίνει στην Apple τη δύναμη να σταματήσει τους Mac από την εκκίνηση γνωστών κακόβουλων εφαρμογών.

Μπορείτε να αποκλείσετε τους ελέγχους OCSP;

Αυτοί οι έλεγχοι OCSP έχουν σχεδιαστεί για να αποτυγχάνουν γρήγορα και αθόρυβα όταν ένας Mac είναι είτε εκτός σύνδεσης είτε δεν μπορεί να επικοινωνήσει με τον διακομιστή ocsp.apple.com.

Αυτό καθιστά εύκολο τον αποκλεισμό τους: Απλώς αποτρέψτε τη σύνδεση του Mac σας στο ocsp.apple.com. Για παράδειγμα, μπορείτε συχνά να αποκλείσετε αυτήν τη διεύθυνση στο δρομολογητή σας, εμποδίζοντας όλες τις συσκευές του δικτύου σας να συνδεθούν σε αυτήν.

Δυστυχώς, μοιάζει με το Big Sur δεν αφήνει πλέον Τα τείχη προστασίας σε επίπεδο λογισμικού στο Mac αποκλείουν την ενσωματωμένη αξιόπιστη διαδικασία του Mac από την πρόσβαση σε απομακρυσμένους διακομιστές όπως αυτός.

Προειδοποίηση: Εάν αποκλείσετε τον διακομιστή ocsp.apple.com, το Mac σας δεν θα παρατηρήσει πότε η Apple έχει ανακαλέσει το πιστοποιητικό προγραμματιστή μιας εφαρμογής. Επιλέγετε να απενεργοποιήσετε μια λειτουργία ασφαλείας και αυτό θα μπορούσε να θέσει το Mac σας σε κίνδυνο.

Τι λέει και υπόσχεται να αλλάξει η Apple;

Ένας άντρας που χρησιμοποιεί MacBook με το

Η Apple φαίνεται να έχει ακούσει την κριτική. Στις 16 Νοεμβρίου 2020, η εταιρεία πρόσθεσε πληροφορίες σχετικά με «Προστασία απορρήτου» για Gatekeeper στην ιστοσελίδα της.

Πρώτον, η Apple λέει ότι ποτέ δεν συνδύασε δεδομένα από αυτούς τους ελέγχους πιστοποιητικών ή κακόβουλου λογισμικού με άλλα δεδομένα που γνωρίζει η Apple για εσάς. Η εταιρεία υπόσχεται ότι δεν χρησιμοποιεί αυτές τις πληροφορίες για να παρακολουθεί ποιες εφαρμογές ξεκινούν τα άτομα στους Mac τους.

  Πώς να παρακολουθήσετε την πτώση της μπάλας την παραμονή της Πρωτοχρονιάς

Δεύτερον, η Apple επιμένει ότι αυτοί οι έλεγχοι πιστοποιητικών δεν σχετίζονται με το Apple ID σας ή με οποιαδήποτε συγκεκριμένη πληροφορία για τη συσκευή πέρα ​​από τη διεύθυνση IP σας. Η Apple λέει ότι έχει σταματήσει να καταγράφει διευθύνσεις IP που σχετίζονται με αυτά τα αιτήματα και θα τις αφαιρέσει από τα αρχεία καταγραφής της Apple.

Κατά τη διάρκεια του επόμενου έτους – με άλλα λόγια, μέχρι το τέλος του 2021 – η Apple λέει ότι θα κάνει αυτές τις αλλαγές:

Αντικατάσταση του OCSP με κρυπτογραφημένο πρωτόκολλο: Η Apple λέει ότι θα δημιουργήσει ένα νέο κρυπτογραφημένο πρωτόκολλο για να αντικαταστήσει το μη κρυπτογραφημένο σύστημα OCSP για τον έλεγχο των πιστοποιητικών προγραμματιστών. Αυτό θα αποτρέψει οποιονδήποτε βρίσκεται στη μέση από το να κατασκοπεύει.
Σταματήστε τις επιβραδύνσεις: Η Apple υπόσχεται επίσης «ισχυρή προστασία από την αποτυχία διακομιστή»—με άλλα λόγια, οι εφαρμογές δεν θα καθυστερήσουν να φορτώσουν επειδή ένας διακομιστής επιβραδύνθηκε ξανά.
Παροχή επιλογής στους χρήστες: Η Apple λέει ότι οι χρήστες Mac θα μπορούν να απενεργοποιούν αυτές τις προστασίες ασφαλείας και να εμποδίζουν το Mac τους να ελέγχει για ανακληθέντα πιστοποιητικά προγραμματιστή.

Συνολικά, αυτές οι αλλαγές θα εξαλείψουν διάφορα προβλήματα – τρίτα μέρη δεν μπορούν πλέον να κρυφτούν στη μέση. Τα Mac θα εξακολουθούν να στέλνουν πληροφορίες στην Apple που μπορεί να χρησιμοποιήσει για να παρακολουθεί ποιες εφαρμογές ανοίγετε, αλλά η Apple υπόσχεται να μην συσχετίσει αυτές τις πληροφορίες με εσάς. Οι επιβραδύνσεις θα πρέπει να εξαλειφθούν καθώς η Apple διορθώνει και το πρόβλημα απόδοσης.

Ποιο θα είναι αυτό το καλύτερο πρωτόκολλο; Λοιπόν, η Apple δεν έχει πει ακόμα με τι θα αντικαταστήσει το OCSP. Ως ερευνητής ασφάλειας Σκοτ Χέλμε σημειώσεις, κάτι σαν CRLite θα μπορούσε να βοηθήσει να περάσετε τη βελόνα εδώ. Φανταστείτε αν ο Mac σας μπορούσε να κατεβάσει ένα μόνο αρχείο από την Apple και να το ενημερώνει τακτικά. Το αρχείο θα περιέχει μια συμπιεσμένη λίστα όλων των ανακλήσεων πιστοποιητικών. Κάθε φορά που εκκινείτε μια εφαρμογή, το Mac σας θα μπορούσε να ελέγχει το αρχείο, εξαλείφοντας τους ελέγχους δικτύου και τα προβλήματα απορρήτου.

Το Mac σας μερικές φορές στέλνει Hashes εφαρμογών στην Apple

Παρεμπιπτόντως, το Mac σας μερικές φορές στέλνει κατακερματισμούς των εφαρμογών που ανοίγετε στους διακομιστές της Apple. Αυτό είναι διαφορετικό από τους ελέγχους υπογραφής OCSP. Αντίθετα, έχει να κάνει με το Gatekeeper Συμβολαιογραφική πράξη.

Οι προγραμματιστές μπορούν να ανεβάζουν εφαρμογές στην Apple, η οποία τις ελέγχει για κακόβουλο λογισμικό και στη συνέχεια τις «συμβολαιογραφεί» εάν φαίνονται ασφαλείς. Αυτές οι πληροφορίες συμβολαιογραφικού εισιτηρίου μπορούν να «συρραφτούν» στην εφαρμογή. Εάν ένας προγραμματιστής δεν συρράψει τις πληροφορίες του εισιτηρίου στο αρχείο της εφαρμογής, το Mac σας θα επικοινωνήσει με τους διακομιστές της Apple την πρώτη φορά που θα εκκινήσετε αυτήν την εφαρμογή.

Αυτό συμβαίνει μόνο την πρώτη φορά που εκκινείτε μια δεδομένη έκδοση μιας εφαρμογής — όχι κάθε φορά που ανοίγει. Και ο διαδικτυακός έλεγχος μπορεί να εξαλειφθεί από τον προγραμματιστή μέσω συρραφής.

Οι Mac δεν είναι μοναδικοί εδώ. Για παράδειγμα, οι υπολογιστές με Windows 10 συχνά ανεβάζουν δεδομένα σχετικά με εφαρμογές που κατεβάζετε στην υπηρεσία SmartScreen της Microsoft για έλεγχο για κακόβουλο λογισμικό. Τα προγράμματα προστασίας από ιούς και άλλες εφαρμογές ασφαλείας ενδέχεται να ανεβάζουν πληροφορίες σχετικά με εφαρμογές με ύποπτη εμφάνιση και στην εταιρεία ασφαλείας.