Apakah Mac Anda benar-benar menelepon ke Apple setiap kali Anda meluncurkan aplikasi? Itulah tuduhan yang terbang setelah 12 Oktober 2020, ketika server Apple menjadi lambat dan Mac modern membutuhkan waktu lama untuk membuka aplikasi. Kami akan menjelaskan apa yang terjadi.
Info: Ini berlaku untuk keduanya MacOS Big Sur. dan MacOS Catalina. . Perlambatan dan masalah privasi terkait bukanlah hal baru di MacOS Big Sur.
Mengapa aplikasi Mac ditandatangani dengan sertifikat pengembang
Pada Mac, aplikasi yang Anda unduh - baik dari Mac App Store atau dari web-ditandatangani dengan sertifikat pengembang. Setiap kali Anda meluncurkan aplikasi, ia memeriksa aplikasi untuk memverifikasi bahwa itu ditandatangani oleh pengembang yang sah dan itu belum dirusak. Ini membantu melindungi Anda dari malware.
Misalnya, ketika Mozilla membuat Firefox, ia mengkompilasi file aplikasi Firefox dan kemudian menandatanganinya dengan sertifikat pengembang Mozilla. Ini adalah cara Mozilla untuk membuktikan bahwa file tersebut sah dan dibuat oleh Mozilla. Jika file aplikasi dirusak sesudahnya, Mac Anda akan melihat perbedaannya.
Sertifikat ini hanya berlaku untuk interval waktu tertentu - mungkin beberapa tahun - tetapi mereka dapat "dicabut" awal. Misalnya, jika Apple menemukan bahwa pengembang menggunakan sertifikatnya untuk menandatangani aplikasi jahat, Apple kemudian mencabut sertifikat. Mac tidak akan memuat aplikasi dengan sertifikat yang dicabut.
OCSP menjelaskan: Mengapa ponsel Mac Anda pulang?
Tapi tunggu - bagaimana Mac Anda tahu apakah Apple telah mencabut sertifikat yang terkait dengan aplikasi di Mac Anda? Untuk memeriksa, Mac Anda menggunakan sesuatu yang disebut protokol status sertifikat online, atau OCSP; Ini juga digunakan oleh browser web untuk memeriksa sertifikat situs web saat Anda menelusuri.
Saat Anda meluncurkan aplikasi, Mac Anda mengirimkan informasi tentang sertifikatnya ke server Apple di OCSP.Apple.com. Mac Anda menanyakan server Apple ini apakah sertifikat telah dicabut. Jika belum, Mac Anda meluncurkan aplikasi. Jika sertifikat telah dicabut, Mac Anda tidak akan meluncurkan aplikasi.
Apakah ini terjadi setiap kali Anda meluncurkan aplikasi?
Mac Anda mengingat tanggapan ini untuk jangka waktu tertentu. Pada tanggal 12 November 2020, respons di-cache selama lima menit; Dengan kata lain, jika Anda meluncurkan aplikasi, menutupnya, dan meluncurkannya lagi empat menit kemudian, Mac Anda tidak perlu meminta Apple tentang sertifikat untuk kedua kalinya. Namun, jika Anda meluncurkan aplikasi, menutupnya, dan meluncurkannya enam menit kemudian, Mac Anda harus meminta server Apple lagi.
Untuk alasan apa pun - mungkin karena perubahan server Big Sur-Apple di-apple dibanjiri dan menjadi sangat lambat pada 12 November 2020. Respons melambat jauh, dan aplikasi memakan waktu lama untuk memuat karena Mac dengan sabar menunggu tanggapan dari Apple lambat server.
Setelah acara itu, server OSCP Apple sekarang memberi tahu Mac untuk mengingat respons validitas sertifikat selama 12 jam. Mac Anda akan menelepon ke rumah dan bertanya tentang sertifikat setiap kali Anda meluncurkan aplikasi - kecuali jika Anda telah menerima respons dalam 12 jam terakhir, dalam hal ini tidak perlu. (Informasi tentang periode waktu di sini berasal dari pengembang aplikasi independen Jeff Johnson .)
Bagaimana jika Mac sedang offline?
Pemeriksaan OCSP dirancang untuk gagal dengan rahmat. Jika Anda offline, Mac Anda akan diam-diam melewatkan cek dan meluncurkan aplikasi secara normal.
Hal yang sama berlaku jika Mac Anda tidak dapat mencapai server OCSP.Apple.com - mungkin karena alamat server telah diblokir di jaringan Anda di level router . Jika Mac Anda tidak dapat menghubungi server, itu melompati cek dan segera meluncurkan aplikasi.
Masalah pada 12 November 2020 adalah bahwa sementara Mac bisa mencapai server Apple, server itu sendiri lambat. Tapi alih-alih dengan diam-diam gagal dan melanjutkan meluncurkan aplikasi, Mac menunggu lama untuk respons. Jika server telah turun sepenuhnya, tidak ada yang akan memperhatikan.
Apa risiko privasi? Apa yang dipelajari Apple?
Ada beberapa masalah privasi yang dibesarkan orang di sini. Mereka dijabarkan dalam peneliti peretas dan keamanan Jeffrey Paul memuji situasi .
- Sertifikat dikaitkan dengan aplikasi : Ketika Mac Anda menghubungi server OCSP, ia bertanya tentang sertifikat yang kemungkinan terkait dengan satu aplikasi - atau, mungkin, beberapa aplikasi. Secara teknis, Mac Anda tidak memberi tahu Apple yang Anda luncurkan. Misalnya, jika Anda meluncurkan Firefox, Apple hanya belajar bahwa Anda telah meluncurkan aplikasi yang dibuat oleh Mozilla. Bisa jadi Firefox atau Thunderbird, tetapi Apple tidak tahu yang mana. Namun, jika Anda meluncurkan aplikasi yang ditandatangani oleh proyek TOR, Apple bisa mendapatkan ide yang cukup bagus bahwa Anda telah membuka Untuk browser .
- Permintaan dikaitkan dengan alamat IP dan waktu : Permintaan ini, tentu saja, dikaitkan dengan tanggal dan waktu dan Anda alamat IP . Begitulah cara kerja internet. Alamat IP Anda dikaitkan dengan kota dan negara tertentu. Setiap permintaan OCSP memberi tahu Apple pengembang yang membuat aplikasi yang Anda luncurkan, lokasi umum Anda, dan tanggal dan waktu di mana Anda meluncurkan aplikasi.
- Kurangnya enkripsi berarti pengintaian dimungkinkan : Protokol OCSP adalah tak terenkripsi . Apple tidak hanya mendapatkan informasi ini - siapa pun di tengah juga dapat melihat informasi ini. Penyedia layanan Internet Anda, administrator jaringan tempat kerja, atau bahkan agensi mata-mata memantau lalu lintas internet dapat menguping lalu lintas OSCP antara Anda dan Apple dan mempelajari semua detail ini. Permintaan ini juga melalui pihak ketiga Jaringan Distribusi Konten (CDN) bernama Akamai. Ini mempercepat mereka - tetapi menambahkan perantara lain yang secara teknis dapat mengintai.
Info: Mac Anda tidak memberi tahu Apple aplikasi mana yang Anda luncurkan. Sebagai gantinya, Mac Anda hanya memberi tahu Apple mana pengembang membuat aplikasi yang Anda luncurkan. Tentu saja, banyak pengembang hanya membuat satu aplikasi. Perbedaan teknis ini sering tidak berarti banyak.
(Ingat: Dengan perubahan perilaku caching, Mac Anda tidak lagi meminta Apple setiap kali Anda meluncurkan aplikasi. Ini hanya melakukan ini setiap 12 jam alih-alih setiap 5 menit.)
Mengapa Mac Anda melakukan ini?
Seperti yang Anda harapkan, ini semua tentang keamanan. Mac adalah platform yang lebih terbuka daripada iPad dan iPhone. Anda dapat mengunduh aplikasi dari mana saja, bahkan di luar App App Store Apple.
Untuk melindungi Mac dari malware - dan ya, Malware Mac menjadi lebih umum -Apple menerapkan pemeriksaan keamanan ini. Jika sertifikat yang digunakan untuk menandatangani aplikasi dicabut, Mac Anda dapat langsung beraksi dan menolak untuk membuka aplikasi itu. Ini memberi Apple kekuatan untuk menghentikan Mac dari meluncurkan aplikasi yang dikenal.
Bisakah Anda memblokir cek OCSP?
Cek OCSP ini dirancang untuk dengan cepat dan diam-diam gagal ketika Mac secara offline atau tidak dapat menghubungi server OCSP.Apple.com.
Itu membuat mereka mudah untuk memblokir: Cegah Mac Anda dari menghubungkan ke OCSP.Apple.com. Misalnya, Anda sering dapat memblokir alamat ini pada router Anda, mencegah semua perangkat di jaringan Anda dari menghubungkannya.
Sayangnya, sepertinya Big Sur tidak lagi lets. Firewall tingkat perangkat lunak pada MAC memblokir proses TrustD built-in MAC dari mengakses server jarak jauh seperti ini.
Peringatan: Jika Anda memblokir server OCSP.Apple.com, Mac Anda tidak akan melihat ketika Apple telah mencabut sertifikat pengembang aplikasi. Anda memilih untuk menonaktifkan fitur keamanan dan ini dapat menempatkan Mac Anda dengan risiko.
Apa yang dikatakan Apple dan berjanji untuk berubah?
Apple tampaknya telah mendengar kritik. Pada 16 November 2020, perusahaan menambahkan informasi tentang "Privasi Perlindungan" untuk Gatekeeper di situs webnya.
Pertama, Apple mengatakan tidak pernah menggabungkan data dari sertifikat atau pemeriksaan malware ini dengan data lain yang diketahui Apple tentang Anda. Perusahaan berjanji itu tidak menggunakan informasi ini untuk melacak aplikasi mana yang diluncurkan oleh individu pada Mac mereka.
Kedua, Apple menegaskan bahwa cek sertifikat ini tidak terkait dengan ID Apple Anda atau informasi spesifik perangkat apa pun di luar alamat IP Anda. Apple mengatakan telah menghentikan logging alamat IP yang terkait dengan permintaan ini dan akan menghapusnya dari log Apple.
Selama tahun depan - dengan kata lain, pada akhir 2021 - Apple mengatakan akan membuat perubahan ini:
- Ganti OCSP dengan protokol terenkripsi : Apple mengatakan akan membuat protokol terenkripsi baru untuk menggantikan sistem OCSP yang tidak terenkripsi untuk memeriksa sertifikat pengembang. Ini akan mencegah siapa pun di tengah dari pengintaian.
- Hentikan perlambatannya : Apple juga menjanjikan "perlindungan kuat terhadap kegagalan server" -Di kata lain, aplikasi tidak akan lambat dimuat karena server melambat lagi.
- Berikan pilihan bagi pengguna : Apple mengatakan pengguna Mac akan dapat mematikan perlindungan keamanan ini dan mencegah Mac mereka dari memeriksa sertifikat pengembang yang dicabut.
Secara keseluruhan, perubahan ini akan menghilangkan berbagai masalah - pihak ketiga tidak dapat lagi mengintai di tengah. Mac masih akan mengirim informasi Apple yang dapat digunakan untuk melacak aplikasi mana yang Anda buka, tetapi Apple berjanji untuk tidak mengaitkan informasi itu dengan Anda. Perlambatan harus dihilangkan karena Apple juga memperbaiki masalah kinerja.
Apa protokol yang lebih baik ini? Nah, Apple belum mengatakan apa yang akan menggantikan OCSP dengan. Sebagai peneliti keamanan Scott Helme. catatan, sesuatu seperti Crlite. dapat membantu benang jarum di sini. Bayangkan jika Mac Anda dapat mengunduh satu file dari Apple dan secara teratur memperbaruinya. File akan berisi daftar terkompresi dari semua revokasi sertifikat. Setiap kali Anda meluncurkan aplikasi, Mac Anda dapat memeriksa file, menghilangkan pemeriksaan jaringan dan masalah privasi.
Mac Anda kadang-kadang mengirim hash aplikasi ke Apple
By the way, Mac Anda kadang-kadang mengirim hash aplikasi yang Anda buka ke server Apple. Ini berbeda dari pemeriksaan tanda tangan OCSP. Sebaliknya, itu ada hubungannya dengan Gatekeeper notarisasi .
Pengembang dapat mengunggah aplikasi ke Apple, yang memeriksa mereka untuk malware dan kemudian "Notaris" mereka jika mereka tampak aman. Informasi Tiket Notaris ini dapat "dijepit" ke aplikasi. Jika pengembang tidak memelihara informasi tiket ke file aplikasi, Mac Anda akan memeriksa dengan server Apple saat pertama kali Anda meluncurkan aplikasi itu.
Ini hanya terjadi saat pertama kali Anda meluncurkan versi aplikasi yang diberikan-tidak setiap kali dibuka. Dan pemeriksaan online dapat dihilangkan oleh pengembang melalui stapling.
Mac tidak unik di sini. Misalnya, Windows 10 pcs sering mengunggah data tentang aplikasi yang Anda unduh Layanan SmartScreen Microsoft untuk memeriksa malware. Program antivirus dan aplikasi keamanan lainnya dapat mengunggah informasi tentang aplikasi yang tampak mencurigakan ke perusahaan keamanan juga.
