Votre Mac téléphonera-t-il vraiment à Apple à chaque fois que vous lancez une application? C'est l'allégation volant après le 12 octobre 2020, lorsqu'un serveur Apple est devenu lent et moderne Macs a pris beaucoup de temps pour ouvrir des applications. Nous allons expliquer ce qui se passe.
Info: Ceci s'applique aux deux Macos Big Sur et Macos Catalina . Les préoccupations relatives à la ralentissement et à la protection de la vie privée ne sont pas nouvelles à Macos Big Sur.
Pourquoi les applications MAC sont signées avec des certificats de développeurs
Sur un Mac, des applications que vous téléchargez, que ce soit à partir du Mac App Store ou du Web-Signé avec un certificat de développeur. Chaque fois que vous lancez une application, il vérifie l'application pour vérifier qu'il a été signé par un développeur légitime et qu'il n'a pas été altéré. Cela vous aide à vous protéger des logiciels malveillants.
Par exemple, lorsque Mozilla crée Firefox, il compile un fichier d'application Firefox, puis le signale avec le certificat de développeur de Mozilla. Il s'agit d'une manière de Mozilla de prouver que le fichier est légitime et créé par Mozilla. Si le fichier d'application est altéré par la suite, votre Mac remarquera la différence.
Ces certificats ne sont valables que pour un certain intervalle de temps - peut-être quelques années - mais ils peuvent être "révoqués" tôt. Par exemple, si Apple découvre qu'un développeur utilise son certificat pour signer des applications malveillantes, Apple révoque ensuite le certificat. Macs ne chargera pas des applications avec ce certificat révoqué.
OCSP a expliqué: Pourquoi votre téléphone Mac est-il à la maison?
Mais attendez-vous-comment votre MAC savait-il si Apple a révoqué un certificat associé à une application sur votre Mac? Pour vérifier, votre Mac utilise quelque chose appelé Protocole d'état de certificat en ligne ou OCSP; Il est également utilisé par les navigateurs Web pour vérifier les certificats de site Web à votre guise.
Lorsque vous lancez une application, votre Mac envoie des informations sur son certificat à un serveur Apple sur OCsp.apple.com. Votre Mac demande à ce serveur Apple si le certificat a été révoqué. Si ce n'est pas le cas, votre Mac lance l'application. Si le certificat a été révoqué, votre Mac ne lancera pas l'application.
Cela se produit-il à chaque fois que vous lancez une application?
Votre Mac se souvient de ces réponses pendant une période de temps. Le 12 novembre 2020, les réponses ont été mises en cache pendant cinq minutes; En d'autres termes, si vous avez lancé une application, la fermait et le lançait encore quatre minutes plus tard, votre Mac n'aurait pas à demander à Apple sur le certificat une seconde fois. Toutefois, si vous avez lancé une application, la clôquée et la a lancée six minutes plus tard, votre Mac devrait demander à nouveau les serveurs d'Apple.
Pour une raison quelconque - peut-être dû à des changements dans le serveur de MacOS sur-Apple a été submergé et est devenu très lent le 12 novembre 2020. Les réponses ont considérablement ralenties et les applications ont pris beaucoup de temps pour charger patiemment attendu patiemment une réponse du lenteur d'Apple serveur.
Après cet événement, le serveur OSCP d'Apple indique désormais aux Mac de se souvenir des réponses de validité de certificat pendant 12 heures. Votre Mac téléphonera à la maison et posera un certificat à chaque fois que vous lancez une application, sauf si vous avez reçu une réponse au cours des 12 dernières heures, auquel cas il n'aura pas besoin. (Les informations sur les périodes de temps ici proviennent du développeur d'applications indépendantes Jeff Johnson .)
Et si un Mac est hors ligne?
Le chèque OCSP est conçu pour échouer avec la grâce. Si vous êtes hors ligne, votre Mac sautera silencieusement les applications de chèque et lancez-la normalement.
Il en va de même si votre Mac ne peut pas atteindre le serveur OCSP.Apple.com, peut-être parce que l'adresse du serveur a été bloqué sur votre réseau au niveau du routeur . Si votre Mac ne peut pas contacter le serveur, il passe le chèque et lance immédiatement l'application.
Le problème le 12 novembre 2020 était que, tandis que MACS pouvait atteindre le serveur d'Apple, le serveur lui-même était lent. Mais plutôt que d'échouer silencieusement et de continuer à lancer une application, Mac a attendu longtemps pour une réponse. Si le serveur était complètement en panne, personne n'aurait remarqué.
Quel est le risque de confidentialité? Qu'est-ce que Apple apprend?
Il y a plusieurs préoccupations de la vie privée que les gens ont élevé ici. Ils sont énoncés dans le pirate informatique et le chercheur en sécurité Blistering de Jeffrey Paul assume la situation .
- Les certificats sont associés aux applications : Lorsque votre Mac contacte le serveur OCSP, il pose une question sur un certificat probable associé à une application ou, peut-être, une poignée d'applications. Techniquement, votre Mac ne dit pas Apple quelle application que vous avez lancée. Par exemple, si vous lancez Firefox, Apple vient d'apprendre que vous avez lancé une application créée par Mozilla. Cela pourrait être Firefox ou Thunderbird, mais Apple ne sait pas qui. Cependant, si vous lancez une application signée par le projet Tor, Apple peut avoir une bonne idée de l'ouverture du Navigateur Tor .
- Les demandes sont associées à des adresses IP et des temps : Ces demandes peuvent bien sûr être associées à une date et à votre heure et votre adresse IP . C'est à quel point Internet fonctionne. Votre adresse IP est associée à une certaine ville et à une certaine état. Chaque demande OCSP indique à Apple le développeur qui a créé l'application que vous lancez, votre emplacement général et la date et l'heure sur lesquels vous avez lancé l'application.
- Le manque de cryptage signifie que Snooping est possible : Le protocole OCSP est non chiffré . Apple obtient non seulement cette information - toute personne au milieu peut également voir ces informations. Votre fournisseur de services Internet, votre administrateur réseau de travail, ou même une agence d'espionnage sur la surveillance de la circulation sur Internet pourraient écouter le trafic de l'OSCP entre vous et Apple et apprendre tous ces détails. Ces demandes suivent également une tierce partie Réseau de distribution de contenu (CDN) nommé Akamai. Cela les accélère, mais ajoute un autre intermédiaire qui pourrait techniquement snoop.
Info: Votre Mac ne dit pas Apple quelle application vous lancez. Au lieu de cela, votre Mac ne fait que dire à Apple que le développeur a créé l'application que vous lancez. Bien sûr, de nombreux développeurs créent simplement une application. Cette distinction technique ne signifie souvent pas beaucoup.
(N'oubliez pas: avec le changement de comportement de mise en cache, votre Mac ne demande plus Apple à chaque fois que vous lancez une application. Cela ne fait que cela toutes les 12 heures au lieu de toutes les 5 minutes.)
Pourquoi votre Mac fait-il cela?
Comme on pouvait s'y attendre, tout est question de sécurité. Le Mac est une plate-forme plus ouverte que l'iPad et l'iPhone. Vous pouvez télécharger des applications de n'importe où, même en dehors de Apple Mac App Store.
Pour protéger le Mac du malware - et oui, Mac Malware est devenu plus courant -Apple mis en œuvre cette vérification de sécurité. Si un certificat utilisé pour signer une application est révoqué, votre Mac peut immédiatement ressembler à l'action et refuser d'ouvrir cette application. Cela donne à Apple le pouvoir d'arrêter les Mac du lancement d'applications malveillantes connues.
Pouvez-vous bloquer les chèques OCSP?
Ces vérifications OCSP sont conçues pour échouer rapidement et silencieusement lorsqu'un Mac est hors ligne ou ne peut pas contacter le serveur OCSP.Apple.com.
Cela les rend simples à bloquer: empêchez simplement votre Mac de se connecter à OCSP.AppLE.com. Par exemple, vous pouvez souvent bloquer cette adresse sur votre routeur, empêchant ainsi tous les périphériques de votre réseau de le connecter.
Malheureusement, cela semble être gros sur ne laisse plus Pare-feu de niveau logiciel sur le bloc Mac Block Le processus fidud intégré de Mac d'accéder à des serveurs distants comme celui-ci.
Avertissement: Si vous bloquez le serveur OCSP.AppLE.com, votre Mac ne remarquera pas lorsque Apple a révoqué le certificat de développeur d'une application. Vous choisissez de désactiver une fonctionnalité de sécurité et cela pourrait mettre votre Mac à risque.
Qu'est-ce que Apple dit et promet de changer?
Apple semble avoir entendu la critique. Le 16 novembre 2020, la société a ajouté des informations sur "Protections de confidentialité" pour Gatekeeper sur son site web.
Premièrement, Apple dit qu'il n'a jamais combiné les données de ces chèques de certificats ou de logiciels malveillants avec une autre Data Apple sait sur vous. La société promet qu'elle n'utilise pas ces informations pour suivre quelles applications les personnes lancent sur leurs Mac.
Deuxièmement, Apple insiste sur le fait que ces vérifications de certificat ne sont pas associées à votre identifiant Apple ou à une information spécifique à un périphérique au-delà de votre adresse IP. Apple dit qu'il a cessé d'enregistrer les adresses IP connectées associées à ces demandes et les enlèvera des journaux d'Apple.
Au cours de la prochaine année, en d'autres termes, à la fin de 2021 - Apple dit que cela apportera ces modifications:
- Remplacer OCSP avec un protocole crypté : Apple dit qu'il créera un nouveau protocole crypté pour remplacer le système OCSP non crypté pour vérifier les certificats de développeur. Cela empêchera quiconque au milieu de snooper.
- Arrêter les ralentissements : Apple promet également des "protections solides contre l'échec du serveur", des applications ne seront pas lentes à charger, car un serveur ralentit à nouveau.
- Fournir le choix aux utilisateurs : Apple dit que les utilisateurs de Mac pourront transformer ces protections de sécurité et empêcher leur MAC de rechercher des certificats de développeurs révoqués.
Dans l'ensemble, ces changements élimineront divers problèmes - les tiers ne peuvent plus snoop au milieu. Les Mac enverront toujours des informations Apple, il peut utiliser pour suivre les applications que vous ouvrez, mais Apple promet de ne pas associer ces informations avec vous. Les ralentissements doivent également être éliminés lorsque Apple corrige également le problème de la performance.
Quel sera ce meilleur protocole? Eh bien, Apple n'a pas encore dit ce qu'il remplacera OCSP avec. En tant que chercheur en sécurité Scott Helme notes, quelque chose comme Crlite pourrait aider à enfiler l'aiguille ici. Imaginez si votre Mac pourrait télécharger un seul fichier d'Apple et le mettre à jour régulièrement. Le fichier contiendrait une liste compressée de toutes les révocations de certificats. Chaque fois que vous lancez une application, votre Mac pourrait vérifier le fichier, éliminer les contrôles réseau et les problèmes de confidentialité.
Votre Mac envoie parfois des hachages d'applications à Apple
À propos, votre Mac envoie parfois des hachages des applications que vous ouvrez sur les serveurs d'Apple. Ceci est différent des contrôles de signature OCSP. Au lieu de cela, cela a à voir avec le gardien notarisation .
Les développeurs peuvent télécharger des applications sur Apple, qui les vérifient pour les logiciels malveillants, puis "les notarise" s'ils semblent en sécurité. Ces informations de billet de notarisation peuvent être «agrafées» à l'application. Si un développeur n'a pas agrafer les informations du billet dans le fichier d'applications, votre Mac vérifiera avec les serveurs d'Apple la première fois que vous lancez cette application.
Cela ne se produit que la première fois que vous lancez une version donnée d'une application, pas à chaque fois qu'il s'ouvre. Et le chèque en ligne peut être éliminé par le développeur par l'agrafage.
Les Mac ne sont pas uniques ici. Par exemple, Windows 10 PCS télécharge souvent des données sur les applications que vous téléchargez sur Service SmartScreen de Microsoft vérifier pour les logiciels malveillants. Les programmes antivirus et d'autres applications de sécurité peuvent également télécharger des informations sur les applications suspectes à la société de sécurité.
