האם Mac שלך באמת טלפון בבית אפל בכל פעם שתפעיל אפליקציה? זוהי טענה עפה לאחר ה -12 באוקטובר, 2020, כאשר שרת אפל הפך איטי מקינטוש המודרני לקח זמן רב כדי לפתוח אפליקציות. נסביר מה קורה.
מידע: זה חל על השני מקוס גדול ו MacOS קטלינה . ההאטה חששות הפרטיות הקשורות אינם חדשים MacOS ביג סור.
למה Apps Mac החתומות באמצעות אישורי Developer
במקינטוש, אפליקציה שאתם להוריד-אם מ- App Store Mac או מהאינטרנט-נחתמים עם תעודת מפתח. בכול פעם שאתה ולהפעיל אפליקציה, הוא בודק את היישום כדי לוודא שהוא נחתם על ידי יזם לגיטימי וכי לא התעסק עם. הדבר מסייע בהגנה מפני תוכנות זדוניות.
לדוגמה, כאשר Mozilla Firefox יוצר, זה הידור קובץ יישום פיירפוקס ואז יחתום עליו באמצעות אישור המפתחים של מוזילה. זוהי דרכה של Mozilla להוכיח כי הקובץ הוא לגיטימי נוצר על ידי מוזילה. אם קובץ היישום הוא התעסק עם אחר, Mac שלך יהיה להבחין בהבדל.
תעודות אלה תקפות רק למשך פרק זמן מסוים, אולי בעוד כמה שנים, אבל הם יכולים להיות "בוטלו" מוקדם. לדוגמה, אם מגלה אפל כי מפתח משתמש בתעודה שלה לחתום על אפליקציות זדוניות, אפל ואז מבטל את האישור. מקינטוש לא יהיה ניתן לטעון אפליקציות עם תעודה בוטלה.
OCSP הסבר: מדוע Mac שלך טלפון בבית?
אבל רגע-איך Mac שלך יודע אם אפל בטל תעודה הקשורים אפליקציה ב- Mac שלך? כדי לבדוק זאת, Mac שלך משתמש במשהו שנקרא פרוטוקול מצב האישור באינטרנט, או OCSP; גם זה נעשה שימוש בדפדפני אינטרנט כדי לבדוק תעודות אתר תוך כדי הגלישה.
בעת השקת אפליקציה, Mac שלך שולח מידע על התעודה שלה לשרת אפל ב ocsp.apple.com. Mac שלך שואל שרת אפל זה אם האישור בוטל. אם זה לא קרה, Mac שלך מפעיל את האפליקציה. אם האישור נשלל, Mac שלך לא להפעיל את האפליקציה.
האם זה קורה בכל פעם שאתה ולהפעיל אפליקציה?
Mac שלך זוכר את התגובות הללו לתקופה של זמן. ב -12 בנובמבר, 2020, התגובות היו במטמון למשך חמש דקות; במילים אחרות, אם אתה השיקה אפליקציה, סגרו אותו, ושיגר אותו שוב כעבור ארבע דקות, Mac שלך לא יצטרך לשאול אפל על האישור בשנית. עם זאת, אם אתה השקת אפליקציה, סגור אותו, ושגרת אותו שש דקות מאוחר יותר, Mac שלך יצטרך לשאול השרתים של אפל שוב.
מסיבה כלשהי, אולי כתוצאה משינויים MacOS ביג השרת של סור-אפל הוצף והפך איטי מאוד ב -12 בנובמבר, 2020. תגובות האטה ניכרת, ויישומים לקח זמן רב כדי לטעון כמו מקינטוש חיכה בסבלנות לתגובה של אפל איטי שרת.
אחרי האירוע הזה, שרת OSCP של אפל עכשיו אומר מקינטוש לזכור תגובות תוקפות תעודה עבור 12 שעות. בית טלפון Mac שלך ולשאול על תעודה בכול פעם שתפעיל אפליקציה-אלא אם קבלת תשובה בתוך 12 השעות האחרונות, ובמקרה זה לא צריך. (המידע על תקופות זמן כאן מגיע למפתח האפליקציה העצמאית ג'ף ג'ונסון .)
מה אם מנותק Mac הוא?
בדיקת OCSP נועדה להיכשל עם חסד. אם אינך מחובר לאינטרנט, Mac שלך יהיה בשקט לדלג על הסימון להשיק אפליקציות בדרך כלל.
הדבר נכון גם אם Mac שלך לא יכול להגיע ocsp.apple.com השרת אולי בגלל כתובת השרת כבר חסום ברשת שלך ברמה נתבה . אם Mac שלך לא יכול ליצור קשר עם השרת, זה מדלג על צ'ק ומייד מפעיל את האפליקציה.
הבעיה ב -12 בנובמבר, 2020, שבעוד מקינטוש יכול להגיע לשרת של אפל, השרת עצמו היה איטי. אבל במקום כושל בשקט וממשיך עם השקת אפליקציה, מקינטוש חיכה זמן רב לתשובה. אם השרת היה למטה לגמרי, אף אחד לא היה שם לב.
מהו הסיכון הפרטי? מה המשמעות של אפל לומד?
ישנם מספר חששות בנושאי פרטיות אנשים הביאו לכאן. הם פרטו האקר חוקר אבטחה לקחת היוקדת של ג'פרי פול על המצב .
- תעודות המשויכים Apps : כאשר קשר Mac שלך בשרת OCSP, הוא שואל על תעודת משויך סביר עם אפליקציה או אחד, אולי, כמה אפליקציות. מבחינה טכנית, Mac שלך לא אומר אפל אשר אפליקציה שההשקה. לדוגמה, אם תפעיל את פיירפוקס, אפל רק לומדת כי שהשקת אפליקציה נוצרה על ידי מוזילה. זה יכול להיות פיירפוקס או Thunderbird, אבל אפל לא יודע איזה. עם זאת, אם אתה להשיק אפליקציה חתום על ידי פרויקט Tor, אפל יכול לקבל מושג די טוב כי שפתחת את דפדפן Tor .
- בקשות המשויכים IP כתובות טיימס : בקשות הבאות יכולות, כמובן, להיות מזוהות עם תאריך ושעה שלך כתובת ה - IP . זה בדיוק איך האינטרנט עובד. כתובת ה- IP שלך קשורה עיר ומדינה מסוימת. כל בקשה OCSP מספרת אפל המפתחים שיצרו את האפליקציה שאתה שיגור והמודעות, המיקום הכללי שלך, ואת התאריך והשעה שבהם אתה השיקה את היישום.
- חוסר אמצעי הצפנה חיטוט אפשרי : פרוטוקול OCSP הוא מוצפן . לא רק אפל לקבל מידע זה בפני איש באמצע יכול גם לראות את המידע הזה. ספקית שירותי אינטרנט, מנהל רשת במקום עבודה, או אפילו תנועה באינטרנט ניטור סוכנות ריגול יכולה לצותת תנועת OSCP בינך לבין אפל וללמוד את כול הפרטים האלה. בקשות אלו גם לעבור צד שלישי רשת הפצת תוכן (CDN) בשם Akamai. זה מזרז-אבל אותם מוסיף מתווך אחר שיכולים לחטט טכני.
מידע: Mac שלך אינו דובר אפל אשר האפליקציה שתציג שיגור אתה. במקום זאת, Mac שלך פשוט אומר אפל אשר מפתחת יצר את האפליקציה שאתה השקת אתה. כמובן, מפתחים רבים פשוט ליצור אפליקציה אחת. הבחנה טכנית זה לעיתים קרובות לא אומר הרבה.
(זכור: עם שינוי בהתנהגות במטמון, Mac שלך הוא כבר לא שואל אפל בכל פעם שתפעיל אפליקציה זה רק עושה כל זאת 12 שעות במקום כל 5 דקות..)
מדוע Mac שלך עושה את זה?
כפי שאפשר לצפות, זה כל ביטחון לגבי. ה MAC היא פלטפורמה פתוחה יותר מאשר iPad ו- iPhone. ניתן להוריד יישומים מכל מקום, אפילו מחוץ חנות App Mac של אפל.
כדי להגן על Mac מפני תוכנות זדוניות-ו כן, תוכנות זדוניות Mac הפכו נפוצות יותר -Apple מיושם בדיקה ביטחונית זו. אם האישור ששימש לחתימה אפליקציה יבוטל, Mac שלך יכול מיד באביב לפעולה ומסרבים לפתוח את האפליקציה. זה נותן אפל הכוח לעצור מקינטוש משיגור יישומים ידועים-זדוני.
אתה יכול לחסום את בדיקות OCSP?
בדיקות OCSP אלה נועדו להיכשל מהר ובשקט כאשר מק הוא גם מחובר או לא יכול ליצור קשר עם שרת ocsp.apple.com.
זה גורם להם פשוט לחסום: רק למנוע Mac שלך מחיבור ocsp.apple.com. לדוגמה, לעיתים קרובות אתה יכול לחסום כתובת זו בנתב, מניעת כל המכשירים המחוברים לרשת שלך מחיבור זה.
למרבה הצער, נראה כמו ביג סור כבר לא מאפשר חומות אש ברמת תוכנה על בלוק Mac המובנה של Mac תהליך trustd לגשת לשרתים מרחוק כזה.
אַזהָרָה: אם תחסום את שרת ocsp.apple.com, Mac שלך לא יבחין כאשר אפל בטל תעודת מפתח אפליקציה. אתם בוחרים להשבית תכונת אבטחה וזה יכול לשים Mac שלך בסיכון.
מה המשמעות של אפל אומרים ו מבטיח שינוי?
אפל כנראה שמע את הביקורת. ב -16 בנובמבר, 2020, החברה הוסיפה מידע על "הגנה על פרטיות" עבור Gatekeeper באתר האינטרנט שלה.
ראשית, אפל אומרת שהיא מעולם בשילוב נתוני תעודת אלה או המחאות זדוניות עם כל הנתונים האחרים אפל יודע מה איתכם. החברה מבטיחה שזה לא להשתמש במידע זה כדי לעקוב אחר אילו ליישומים יחידים משיקים על Mac שלהם.
שנית, אפל מתעקשת כי המחאות תעודת אלה אינם קשורים באמצעות ה- Apple ID שלך או כל מידע ספציפי למכשיר מעבר כתובת ה- IP שלך. אפל אומרת שהיא הפסיקה כתוב IP רישום הקשורים לבקשות אלה ויהיה הוצאה היומנים של אפל.
במהלך השנה הבאה - במילים אחרות, עד סוף 2021 - אפל אומר שזה יעשה שינויים אלה:
- החלף OCSP עם פרוטוקול מוצפן : אפל אומר שזה תיצור פרוטוקול מוצפן חדש להחליף את מערכת OCSP לא מוצפנת לבדיקת תעודות מפתח. זה ימנע מישהו באמצע מחטטת.
- עצור את ההאטה : Apple גם מבטיח "הגנות חזקות נגד כשל שרת" - מילים אחרות, Apps לא יהיה איטי לטעון כי שרת האט שוב.
- לספק בחירה למשתמשים : Apple אומר משתמשי Mac יוכלו להפוך את ההגנות אבטחה אלה ולמנוע MAC שלהם מבדיקת תעודות מפתח בוטלו.
בסך הכל, שינויים אלה יחלו בעיות שונות - צדדים שלישיים כבר לא יכול לסנופט באמצע. Macs עדיין ישלחו מידע Apple זה יכול להשתמש כדי לעקוב אחר אילו יישומים אתה פתוח, אבל Apple מבטיחה לא לשייך את המידע איתך. האטה יש לבטל כמו Apple מתקן את בעיית הביצועים, מדי.
מה יהיה פרוטוקול טוב יותר להיות? ובכן, אפל עדיין לא אמר מה זה יחליף OCSP עם. כחוקר אבטחה סקוט הלם הערות, משהו כמו Crlite יכול לעזור חוט את המחט כאן. תארו לעצמכם אם Mac שלך יכול להוריד קובץ יחיד של אפל ולעדכן אותו באופן קבוע. הקובץ יכלול רשימה דחוסה של כל תוקמות האישורים. בכל פעם שאתה מפעיל App, Mac יכול לבדוק את הקובץ, ביטול בדיקות רשת ובעיות הפרטיות.
Mac שלך לפעמים לשלוח hashes App כדי Apple
אגב, Mac שלך עושה לפעמים לשלוח hashes של היישומים שאתה פתוח לשרתים של אפל. זה שונה מהמחאות החתימה של OCSP. במקום זאת, זה קשור לסף שומר נוטריון .
מפתחים יכולים להעלות יישומים לתפוח, אשר בודק אותם עבור תוכנות זדוניות ולאחר מכן "noararizes" אותם אם הם נראים בטוחים. מידע זה כרטיס ניצחון יכול להיות "stapled" לאפליקציה. אם מפתח אינו מצרך את פרטי הכרטיס לקובץ App, Mac שלך יבדוק עם שרתים של אפל בפעם הראשונה שתפעיל את האפליקציה.
זה קורה רק בפעם הראשונה שתפעיל גירסה נתונה של אפליקציה - לא בכל פעם שהוא נפתח. ואת המחאה המקוונת ניתן לבטל על ידי היזם באמצעות הידוק.
Macs אינם ייחודיים כאן. לדוגמה, Windows 10 PCS לעתים קרובות להעלות נתונים על Apps שאתה מוריד שירות SmartScreen של מיקרוסופט כדי לבדוק תוכנות זדוניות. תוכניות אנטי וירוס ויישומי אבטחה אחרים עשויים להעלות מידע על יישומים חשודים למראה לחברת האבטחה.
