Mac-ul dvs. chiar telefonează la Apple de fiecare dată când lansați o aplicație? Aceasta este acuzația care a zburat după 12 octombrie 2020, când un server Apple a devenit lent și Mac-urile moderne au avut nevoie de mult timp pentru a deschide aplicațiile. Vom explica ce se întâmplă.
Informații: acest lucru este valabil atât pentru macOS Big Sur, cât și pentru macOS Catalina. Încetinirea și preocupările asociate legate de confidențialitate nu sunt noi în macOS Big Sur.
Cuprins
De ce aplicațiile Mac sunt semnate cu certificate de dezvoltator
Pe un Mac, aplicațiile pe care le descărcați, fie din Mac App Store, fie de pe web, sunt semnate cu un certificat de dezvoltator. De fiecare dată când lansați o aplicație, aceasta verifică aplicația pentru a verifica dacă a fost semnată de un dezvoltator legitim și că nu a fost modificată. Acest lucru vă ajută să vă protejați de programele malware.
De exemplu, atunci când Mozilla creează Firefox, compilează un fișier de aplicație Firefox și apoi îl semnează cu certificatul de dezvoltator al Mozilla. Acesta este modul Mozilla de a demonstra că fișierul este legitim și creat de Mozilla. Dacă fișierul aplicației este modificat ulterior, Mac-ul tău va observa diferența.
Aceste certificate sunt valabile doar pentru un anumit interval de timp – poate câțiva ani – dar pot fi „revocate” din timp. De exemplu, dacă Apple descoperă că un dezvoltator își folosește certificatul pentru a semna aplicații rău intenționate, Apple revocă certificatul. Mac-urile nu vor încărca aplicații cu acel certificat revocat.
OCSP explicat: De ce telefonul tău Mac este acasă?
Dar așteptați: de unde știe Mac-ul dvs. dacă Apple a revocat un certificat asociat cu o aplicație de pe Mac? Pentru a verifica, Mac-ul tău folosește ceva numit Online Certificate Status Protocol sau OCSP; este, de asemenea, folosit de browserele web pentru a verifica certificatele site-ului web în timp ce navigați.
Când lansați o aplicație, Mac-ul dvs. trimite informații despre certificatul său către un server Apple la ocsp.apple.com. Mac-ul dvs. întreabă acest server Apple dacă certificatul a fost revocat. Dacă nu, Mac-ul tău lansează aplicația. Dacă certificatul a fost revocat, Mac-ul tău nu va lansa aplicația.
Se întâmplă acest lucru de fiecare dată când lansați o aplicație?
Mac-ul dvs. își amintește aceste răspunsuri pentru o perioadă de timp. Pe 12 noiembrie 2020, răspunsurile au fost stocate în cache timp de cinci minute; cu alte cuvinte, dacă ați lansat o aplicație, ați închis-o și ați lansat-o din nou patru minute mai târziu, Mac-ul dvs. nu ar trebui să întrebe Apple despre certificat a doua oară. Cu toate acestea, dacă ați lansat o aplicație, ați închis-o și ați lansat-o șase minute mai târziu, Mac-ul dvs. ar trebui să întrebe din nou serverele Apple.
Indiferent de motiv – poate din cauza schimbărilor în macOS Big Sur – serverul Apple a fost inundat și a devenit foarte lent pe 12 noiembrie 2020. Răspunsurile au încetinit considerabil, iar aplicațiile au durat mult să se încarce, deoarece Mac-urile așteptau cu răbdare un răspuns de la încetinitorul Apple. Server.
După acel eveniment, serverul OSCP al Apple le spune acum Mac-urilor să-și amintească răspunsurile de valabilitate a certificatelor timp de 12 ore. Mac-ul dvs. va suna acasă și va întreba despre un certificat de fiecare dată când lansați o aplicație, cu excepția cazului în care ați primit un răspuns în ultimele 12 ore, caz în care nu va fi necesar. (Informațiile despre perioadele de timp de aici provin de la un dezvoltator independent de aplicații Jeff Johnson.)
Ce se întâmplă dacă un Mac este offline?
Verificarea OCSP este proiectată să eșueze cu grație. Dacă sunteți offline, Mac-ul dvs. va sări peste verificare și va lansa aplicațiile în mod normal.
Același lucru este valabil dacă Mac-ul dvs. nu poate ajunge la serverul ocsp.apple.com – poate pentru că adresa serverului a fost blocată în rețeaua dvs. la nivel de router. Dacă Mac-ul tău nu poate contacta serverul, omite verificarea și lansează imediat aplicația.
Problema din 12 noiembrie 2020 a fost că, deși Mac-urile puteau ajunge la serverul Apple, serverul în sine era lent. Dar, în loc să eșueze în tăcere și să continue cu lansarea unei aplicații, Mac-urile au așteptat mult timp un răspuns. Dacă serverul s-ar fi oprit complet, nimeni nu ar fi observat.
Care este riscul de confidențialitate? Ce învață Apple?
Există mai multe preocupări legate de confidențialitate pe care oamenii le-au adus în discuție aici. Ele sunt descrise în hacker și cercetător de securitate Vizualizarea lui Jeffrey Paul asupra situației.
Certificatele sunt asociate cu aplicațiile: atunci când Mac-ul dvs. contactează serverul OCSP, acesta vă întreabă despre un certificat care este probabil asociat cu o aplicație sau, poate, cu o mână de aplicații. Din punct de vedere tehnic, Mac-ul tău nu îi spune Apple ce aplicație ai lansat. De exemplu, dacă lansați Firefox, Apple doar află că ați lansat o aplicație creată de Mozilla. Ar putea fi Firefox sau Thunderbird, dar Apple nu știe care. Cu toate acestea, dacă lansați o aplicație semnată de Tor Project, Apple își poate face o idee destul de bună că ați deschis Tor Browser.
Solicitările sunt asociate cu adrese și ore IP: aceste solicitări pot fi, desigur, asociate cu o dată și o oră și cu adresa dumneavoastră IP. Așa funcționează internetul. Adresa dvs. IP este asociată cu un anumit oraș și stat. Fiecare solicitare OCSP spune Apple dezvoltatorului care a creat aplicația pe care o lansați, locația dvs. generală și data și ora la care ați lansat aplicația.
Lipsa criptării înseamnă că snooping-ul este posibil: protocolul OCSP este necriptat. Nu numai că Apple obține aceste informații, ci și oricine din mijloc poate vedea aceste informații. Furnizorul dvs. de servicii de internet, administratorul de rețea la locul de muncă sau chiar o agenție de spionaj care monitorizează traficul de internet ar putea să asculte cu urechea traficul OSCP dintre dvs. și Apple și să învețe toate aceste detalii. Aceste solicitări trec și prin intermediul unei terțe părți retea de distributie de continut (CDN) pe nume Akamai. Acest lucru le accelerează, dar adaugă un alt intermediar care ar putea snoop din punct de vedere tehnic.
Informații: Mac-ul dvs. nu îi spune Apple ce aplicație o lansați. În schimb, Mac-ul tău spune Apple doar care dezvoltator a creat aplicația pe care o lansezi. Desigur, mulți dezvoltatori creează doar o aplicație. Această distincție tehnică adesea nu înseamnă mare lucru.
(Rețineți: odată cu schimbarea comportamentului de stocare în cache, Mac-ul dvs. nu mai solicită Apple de fiecare dată când lansați o aplicație. Face acest lucru doar la fiecare 12 ore în loc de la fiecare 5 minute.)
De ce Mac-ul tău face asta?
După cum vă puteți aștepta, totul este despre securitate. Mac-ul este o platformă mai deschisă decât iPad și iPhone. Puteți descărca aplicații de oriunde, chiar și în afara magazinului de aplicații Mac al Apple.
Pentru a proteja Mac-ul de malware – și da, malware-ul Mac a devenit mai comun – Apple a implementat această verificare de securitate. Dacă un certificat folosit pentru a semna o aplicație este revocat, Mac-ul dvs. poate intra imediat în acțiune și poate refuza deschiderea aplicației respective. Acest lucru oferă Apple puterea de a opri Mac-urile să lanseze aplicații rău-intenționate cunoscute.
Puteți bloca verificările OCSP?
Aceste verificări OCSP sunt concepute pentru a eșua rapid și silențios atunci când un Mac este fie offline, fie nu poate contacta serverul ocsp.apple.com.
Acest lucru le face ușor de blocat: doar împiedicați Mac-ul dvs. să se conecteze la ocsp.apple.com. De exemplu, puteți bloca adesea această adresă pe router, împiedicând toate dispozitivele din rețea să se conecteze la ea.
Din păcate, pare a fi Big Sur nu mai lasa Firewall-urile la nivel de software de pe Mac blochează procesul de încredere încorporat al Mac-ului să nu acceseze astfel de servere la distanță.
Avertisment: dacă blocați serverul ocsp.apple.com, Mac-ul dvs. nu va observa când Apple a revocat certificatul de dezvoltator al unei aplicații. Alegeți să dezactivați o funcție de securitate și acest lucru ar putea pune Mac-ul în pericol.
Ce spune Apple și ce promite să se schimbe?
Apple pare să fi auzit criticile. Pe 16 noiembrie 2020, compania a adăugat informații despre „protecții de confidențialitate” pentru Gatekeeper pe site-ul său.
În primul rând, Apple spune că nu a combinat niciodată datele din aceste certificate sau verificări de malware cu alte date pe care Apple le cunoaște despre tine. Compania promite că nu folosește aceste informații pentru a urmări ce aplicații lansează persoanele pe Mac-urile lor.
În al doilea rând, Apple insistă asupra faptului că aceste verificări ale certificatelor nu sunt asociate cu ID-ul tău Apple sau cu orice informații specifice dispozitivului în afara adresei tale IP. Apple spune că a oprit înregistrarea adreselor IP asociate cu aceste solicitări și le va elimina din jurnalele Apple.
Pe parcursul anului următor, cu alte cuvinte, până la sfârșitul anului 2021, Apple spune că va face aceste modificări:
Înlocuiți OCSP cu un protocol criptat: Apple spune că va crea un nou protocol criptat pentru a înlocui sistemul OCSP necriptat pentru verificarea certificatelor de dezvoltator. Acest lucru va împiedica pe oricine din mijloc să spioneze.
Opriți încetinirile: Apple promite, de asemenea, „protecții puternice împotriva eșecului serverului” – cu alte cuvinte, aplicațiile nu vor întârzia încărcarea deoarece un server a încetinit din nou.
Oferiți opțiuni utilizatorilor: Apple spune că utilizatorii Mac vor putea dezactiva aceste protecții de securitate și vor putea împiedica Mac-ul lor să verifice certificatele de dezvoltator revocate.
În general, aceste modificări vor elimina diverse probleme – terții nu mai pot fi observate la mijloc. Mac-urile vor trimite în continuare informații Apple pe care le poate folosi pentru a urmări aplicațiile pe care le deschideți, dar Apple promite să nu vă asocieze aceste informații. Încetinirile ar trebui eliminate, deoarece Apple rezolvă și problema de performanță.
Care va fi acest protocol mai bun? Ei bine, Apple nu a spus încă cu ce va înlocui OCSP. Ca cercetător de securitate Scott Helme note, ceva de genul CRLite ar putea ajuta acul aici. Imaginează-ți dacă Mac-ul tău ar putea descărca un singur fișier de la Apple și să-l actualizeze în mod regulat. Fișierul ar conține o listă comprimată a tuturor revocărilor de certificate. Ori de câte ori lansați o aplicație, Mac-ul dvs. poate verifica fișierul, eliminând verificările de rețea și problemele de confidențialitate.
Mac-ul dvs. trimite uneori aplicații hash la Apple
Apropo, Mac-ul dvs. trimite uneori hash-uri ale aplicațiilor pe care le deschideți către serverele Apple. Acest lucru este diferit de verificările semnăturii OCSP. În schimb, are de-a face cu Gatekeeper legalizare.
Dezvoltatorii pot încărca aplicații pe Apple, care le verifică pentru malware și apoi le „autentifică” dacă par sigure. Aceste informații despre biletul de notarizare pot fi „capsate” în aplicație. Dacă un dezvoltator nu capsează informațiile despre bilet în fișierul aplicației, Mac-ul tău va verifica cu serverele Apple prima dată când lansezi aplicația respectivă.
Acest lucru se întâmplă doar prima dată când lansați o anumită versiune a unei aplicații, nu de fiecare dată când se deschide. Iar verificarea online poate fi eliminată de dezvoltator prin capsare.
Mac-urile nu sunt unice aici. De exemplu, computerele cu Windows 10 încarcă adesea date despre aplicațiile pe care le descărcați în serviciul Microsoft SmartScreen pentru a verifica dacă există programe malware. Programele antivirus și alte aplicații de securitate pot încărca informații despre aplicațiile cu aspect suspect și către compania de securitate.