¿Su Mac realmente está a su teléfono a Apple cada vez que inicie una aplicación? Esa es la alegación que vuela alrededor del 12 de octubre de 2020, cuando un servidor de Apple se volvió lento y Macs modernos tardaron mucho tiempo en abrir aplicaciones. Explicaremos lo que está pasando.
Información: [dieciséis] Esto se aplica a ambos Macos Big Sur y MACOS CATALINA . La desaceleración y las preocupaciones de privacidad asociadas no son nuevas en MacOS Big Sur.
¿Por qué las aplicaciones Mac están firmadas con los certificados de desarrollador?
En una Mac, las aplicaciones que descarga, ya sea desde la tienda de aplicaciones de Mac o de la web, se firman con un certificado de desarrollador. Cada vez que lanza una aplicación, revisa la aplicación para verificar que fue firmada por un desarrollador legítimo y de que no se ha manipulado. Esto ayuda a protegerlo de malware.
Por ejemplo, cuando Mozilla crea Firefox, compila un archivo de aplicación Firefox y luego lo firma con el certificado de desarrollador de Mozilla. Esta es la forma de demostrar que el archivo es legítimo y creado por Mozilla. Si el archivo de aplicación está manipulado después, su MAC notará la diferencia.
Estos certificados solo son válidos para un cierto intervalo de tiempo, tal vez unos pocos años, pero pueden ser "revocados" temprano. Por ejemplo, si Apple descubre que un desarrollador está utilizando su certificado para firmar aplicaciones maliciosas, Apple luego revoca el certificado. Mac no cargará aplicaciones con ese certificado revocado.
OCSP explicado: ¿Por qué su teléfono Mac está a casa?
Pero espere, ¿cómo sabe su Mac si Apple ha revocado un certificado asociado con una aplicación en su Mac? Para comprobar, su MAC utiliza algo llamado Protocolo de estado del certificado en línea, o OCSP; También es utilizado por los navegadores web para verificar los certificados del sitio web a medida que navega.
Cuando inicie una aplicación, su Mac envía información sobre su certificado a un servidor de Apple en Ocsp.apple.com. Su Mac le pregunta a este servidor de Apple si el certificado ha sido revocado. Si no lo ha hecho, su MAC lanza la aplicación. Si el certificado ha sido revocado, su Mac no lanzará la aplicación.
¿Esto sucede cada vez que inicia una aplicación?
Su MAC recuerda estas respuestas por un período de tiempo. El 12 de noviembre de 2020, las respuestas se almacenaron en caché durante cinco minutos; En otras palabras, si lanzaron una aplicación, la cerró y lo lanzó nuevamente cuatro minutos más tarde, su MAC no tendría que preguntarle a Apple sobre el certificado por segunda vez. Sin embargo, si lanzará una aplicación, la cerró y lo lanzó seis minutos más tarde, su MAC tendría que volver a hacer los servidores de Apple nuevamente.
Por cualquier motivo, quizás debido a los cambios en el servidor de MacOS Big Sur-Apple se abrió y se volvió muy lento el 12 de noviembre de 2020. Las respuestas disminuyeron considerablemente, y las aplicaciones tardaron mucho tiempo en cargar, ya que MacS esperó pacientemente una respuesta de la lenta de Apple servidor.
Después de ese evento, el servidor OscP de Apple ahora le dice a MacS que recuerden las respuestas de validez del certificado durante 12 horas. Su Mac telefoneará a casa y preguntará acerca de un certificado cada vez que inicie una aplicación, a menos que haya recibido una respuesta en las últimas 12 horas, en cuyo caso no lo necesitará. (La información sobre los períodos de tiempo aquí proviene del desarrollador de aplicaciones independiente Jeff Johnson .)
¿Y si una mac está desconectado?
El cheque OCSP está diseñado para fallar con la gracia. Si está desconectado, su Mac saltará silenciosamente el cheque y la ejecución de las aplicaciones normalmente.
Lo mismo es cierto si su Mac no puede llegar al servidor Ocsp.apple.com, tal vez porque la dirección del servidor ha sido Bloqueado en su red en el nivel del enrutador. . Si su Mac no se puede comunicar con el servidor, se omite el cheque e inmediatamente lanza la aplicación.
El problema el 12 de noviembre de 2020 fue que, si bien MacS podía llegar al servidor de Apple, el servidor en sí era lento. Pero en lugar de fallar en silencio y seguir adelante con la lanza una aplicación, Macs esperó mucho tiempo para una respuesta. Si el servidor había estado completamente abajo, nadie se habría notado.
¿Cuál es el riesgo de privacidad? ¿Qué aprende Apple?
Hay varias preocupaciones de privacidad que las personas han criado aquí. Se detallan en Hacker y Seguridad Investigador. La ampolla de Jeffrey Pablo asume la situación. .
- Los certificados están asociados con las aplicaciones. [dieciséis] : Cuando su MAC se comunica con el servidor OCSP, solicita un certificado que probablemente esté asociado con una aplicación o, quizás, un puñado de aplicaciones. Técnicamente, su Mac no le dice a Apple qué aplicación ha lanzado. Por ejemplo, si inicia Firefox, Apple solo aprende que ha lanzado una aplicación creada por Mozilla. Podría ser Firefox o Thunderbird, pero Apple no sabe cuál. Sin embargo, si inicia una aplicación firmada por el Proyecto TOR, Apple puede obtener una buena idea de que haya abierto el Navegador tor .
- Las solicitudes están asociadas con direcciones IP y tiempos. [dieciséis] : Estas solicitudes pueden, por supuesto, estar asociadas con una fecha y hora y su dirección IP . Así es como funciona Internet. Su dirección IP está asociada con una cierta ciudad y estado. Cada solicitud OCSP le dice a Apple, el desarrollador creó la aplicación que está lanzando, su ubicación general y la fecha y hora en la que lanzó la aplicación.
- Falta de cifrado significa que la snooping es posible. [dieciséis] : El protocolo OCSP es sin cifrado . Apple no solo obtiene esta información: nadie en el medio también puede ver esta información. Su proveedor de servicios de Internet, administrador de la red de trabajo, o incluso una agencia de espías que monitorean el tráfico de Internet podría escucharse en el tráfico de OSCP entre usted y Apple y aprenda todos estos detalles. Estas solicitudes también pasan por un tercero. Red de distribución de contenido (CDN) llamado Akamai. Esto los acelera, pero agrega otro intermediario que podía sosegar técnicamente.
Información: [dieciséis] Su Mac no le está diciendo a Apple qué aplicación está lanzando. En su lugar, su Mac solo está diciendo a Apple qué desarrollador creó la aplicación que está lanzando. Por supuesto, muchos desarrolladores simplemente crean una aplicación. Esta distinción técnica a menudo no significa mucho.
(Recuerde: con el cambio en el comportamiento de almacenamiento en caché, su Mac ya no le está pidiendo a Apple cada vez que inicie una aplicación. Solo está haciendo esto cada 12 horas en lugar de cada 5 minutos).
¿Por qué tu Mac está haciendo esto?
Como es posible, esto se trata de la seguridad. El Mac es una plataforma más abierta que el iPad y el iPhone. Puede descargar aplicaciones desde cualquier lugar, incluso fuera de Apple's Mac App Store.
Para proteger la Mac de Malware, y sí, Mac Malware se ha vuelto más común -Apple implementó este cheque de seguridad. Si se revoca un certificado utilizado para firmar una aplicación, su Mac puede generar inmediatamente a la acción y negarse a abrir esa aplicación. Esto le da a Apple el poder de evitar que Mac lanzaran aplicaciones conocidas-maliciosas.
¿Puedes bloquear los cheques OCSP?
Estos cheques OCSP están diseñados para fallar de forma rápida y silenciosa cuando una MAC está fuera de línea o no se puede comunicar con el servidor Ocsp.apple.com.
Eso los hace simples de bloquear: simplemente evita que su Mac se conecte a Ocsp.apple.com. Por ejemplo, a menudo puede bloquear esta dirección en su enrutador, evitando que todos los dispositivos en su red se conecten a él.
Desafortunadamente, parece que Big Sur ya no permite Los firewalls de nivel de software en la MAC bloquean el proceso de confianza incorporado de Mac al acceder a los servidores remotos como este.
Advertencia: [dieciséis] Si bloquea el servidor Ocsp.apple.com, su Mac no se dará cuenta de que Apple ha revocado el certificado de desarrollador de la aplicación. Usted está eligiendo deshabilitar una función de seguridad y esto podría poner su MAC en riesgo.
¿Qué dice y promesa de Apple?
Apple parece haber escuchado la crítica. El 16 de noviembre de 2020, la compañía agregó información sobre "Protecciones de privacidad" para portero en su sitio web.
Primero, Apple dice que nunca ha combinado los datos de estos verificaciones de certificado o malware con otros datos que Apple conozca sobre usted. La compañía promete que no usa esta información para rastrear qué aplicaciones están lanzando las personas en sus Mac.
En segundo lugar, Apple insiste en que estas verificaciones de certificados no están asociadas con su ID de Apple ni en ninguna información específica del dispositivo más allá de su dirección IP. Apple dice que ha dejado de registrar las direcciones IP asociadas con estas solicitudes y las eliminarán de los registros de Apple.
Durante el próximo año, en otras palabras, a finales de 2021 - Apple dice que va a hacer estos cambios:
- Reemplazar OCSP con un protocolo de cifrado [dieciséis] : Apple dice que va a crear un nuevo protocolo de cifrado para reemplazar el sistema de OCSP no cifrado para comprobar los títulos de desarrolladores. Esto evitará que cualquier persona en el centro de espionaje.
- Detener las desaceleraciones [dieciséis] : Apple también promete “una fuerte protección contra fallo del servidor”, en otras palabras, las aplicaciones no serán lentos a la carga debido a un servidor más lento de nuevo.
- Proporcionar Elección de los Usuarios [dieciséis] : Apple dice que los usuarios de Mac podrán convertir estas protecciones de seguridad fuera y evitar su Mac desde la comprobación de certificados revocados desarrollador.
En general, estos cambios eliminarán varias partes problemas-terceros ya no pueden husmear en el medio. Mac seguirá enviando información de Apple se puede utilizar para rastrear qué aplicaciones se abre, pero Apple se compromete a no asociar esa información con usted. Desaceleraciones deben ser eliminados como Apple corrige el problema de rendimiento, también.
Lo mejor será este protocolo? Pues bien, Apple aún no ha dicho lo que reemplazará con OCSP. Como investigador de seguridad scott Helme notas, algo así como CRLite podría ayudar a enhebrar la aguja aquí. Imagínese si su Mac podría descargar un solo archivo de Apple y actualizarla regularmente. El archivo contendría una lista de todos comprimido revocaciones de certificados. Cada vez que inicie una aplicación, tu Mac puede comprobar el archivo, la eliminación de los controles de red y los problemas de privacidad.
Su Mac hace a veces Enviar App hashes a Apple
Por cierto, su Mac hace a veces enviar los hashes de las aplicaciones que abren a los servidores de Apple. Esto es diferente de los controles de firma de OCSP. En cambio, tiene que ver con el Gatekeeper notarización .
Los desarrolladores pueden subir aplicaciones a Apple, lo que los cheques en busca de malware y luego “notariza” ellos si parecen seguros. Esta información sobre las entradas certificación notarial puede ser “grapar” para la aplicación. Si un desarrollador no lo hace grapar la información sobre las entradas en el fichero de aplicación, el Mac comprobará con los servidores de Apple la primera vez que inicie esa aplicación.
Esto sólo ocurre la primera vez que inicie una determinada versión de una aplicación, no cada vez que se abre. Y la comprobación en línea puede ser eliminado por el desarrollador a través de grapado.
Mac no son únicos aquí. Por ejemplo, Windows 10 PCs a menudo subir datos de aplicaciones descargadas en la servicio SmartScreen de Microsoft para comprobar si hay malware. Los programas antivirus y otras aplicaciones de seguridad pueden subir información sobre las aplicaciones de aspecto sospechoso a la empresa de seguridad, también.
