あなたがアプリを起動するたびに、あなたのMacは本当にAppleの家に携帯電話ですか?これは、2020年10月12日、Apple Serverが遅くなって現代的なMacがアプリを開くのに長い時間をかけたときに周りの主張です。何が起こっているのか説明します。
情報: これは両方に適用されます MacOS BIG SUR. と Macos Catalina. 。スローダウンと関連するプライバシーの懸念は、MacOS BIG SURでは新しいものではありません。
Macアプリケーションが開発者証明書で署名されている理由
Mac上でダウンロードするアプリ - Mac App StoreまたはWebからのものかどうか、開発者証明書に署名されています。アプリを起動するたびに、それはそのアプリをチェックして、正当な開発者によって署名されていて、それが改ざんされていないことを確認します。これはマルウェアからあなたを守るのに役立ちます。
たとえば、MozillaがFirefoxを作成するとき、それはFirefoxアプリケーションファイルをコンパイルしてからMozillaの開発者証明書でそれに署名します。これはMozillaのファイルが合法的で、Mozillaによって作成されたことを証明する方法です。アプリケーションファイルがその後に改ざんされている場合、Macは違いに気付くでしょう。
これらの証明書は、数年間の時間の間隔の間にのみ有効ですが、早期に「取り消し」することができます。たとえば、Appleが開発者がその証明書を使用して悪意のあるアプリに署名していることを発見した場合、Appleは証明書を取り消します。 Macsはその失効した証明書とアプリをロードしません。
OCSP説明:なぜあなたのMac Phoneが家にいますか?
しかし、AppleがMac上のアプリに関連付けられている証明書を取り消したかどうかをMacにどのように知っていますか。チェックすると、Macはオンライン証明書ステータスプロトコル、またはOCSPと呼ばれるものを使用します。ブラウザでWebブラウザが参照すると、ブラウズの証明書を確認することもできます。
アプリを起動すると、Macはその証明書に関する情報をOCSP.Apple.comでAppleサーバーに送信します。あなたのMacは証明書が失効されたかどうかにかかわらずこのAppleサーバーに尋ねます。そうでなければ、あなたのMacはアプリを起動します。証明書が取り消された場合、Macはアプリを起動しません。
アプリを起動するたびにこれは起こりますか?
あなたのMacは一定期間これらの反応を記憶します。 2020年11月12日に、回答は5分間キャッシュされました。言い換えれば、あなたがアプリを立ち上げ、それを閉じて4分後に再び起動した場合、あなたのMacは2回目の証明書についてAppleに尋ねる必要はありません。ただし、アプリを起動し、それを閉じて6分後に起動した場合、MacはAppleのサーバーに再び尋ねる必要があります。
MacOS BIG SUR-Appleのサーバーの変更が急増しているため、2020年11月12日に非常に遅くなりました。サーバ。
そのイベントの後、AppleのOSCPサーバーは現在証明書の有効性の回答を12時間覚えているようにマックに指示します。あなたのMacは家に携帯して、あなたが最後の12時間の応答を受け取ったら、あなたが最後の12時間で応答を受け取っていない限り、証明書について尋ねるでしょう。その場合は必要ありません。 (ここでの期間に関する情報は独立したアプリ開発者から来ています ジェフジョンソン 。)
Macがオフラインの場合はどうなりますか?
OCSPチェックは、猶予で失敗するように設計されています。オフラインの場合、Macは静かにチェックをスキップしてアプリを通常起動します。
MacがOCSP.APPLE.comサーバーに到達できない場合は、同じことが言えます。 ルータレベルでネットワーク上でブロックされました 。 Macがサーバーに連絡できない場合は、小切手をスキップしてすぐにアプリを起動します。
2020年11月12日の問題は、MacがAppleのサーバーに到達する可能性があるが、サーバー自体が遅いということでした。しかし、黙って失敗してアプリの起動に乗り込んでいるのではなく、Macは応答のために長い時間待っていました。サーバーが完全に停止していたら、誰も気づいたことはありません。
プライバシーリスクは何ですか?アップルは何を学びますか?
いくつかのプライバシーに関する懸念があります人々はここに育った。彼らはハッカーとセキュリティ研究者に綴られています Jeffrey Paul's Blistingは状況を取ります 。
- 証明書はアプリに関連付けられています :MacがOCSPサーバーに連絡すると、1つのアプリ、またはおそらく一握りのアプリに関連付けられている証明書について尋ねます。技術的には、あなたのMacはあなたが起動したアプリをリンゴに伝えません。たとえば、Firefoxを起動した場合、AppleはMozillaによって作成されたアプリを起動したことを学ぶだけです。それはFirefoxやThunderbirdかもしれませんが、Appleはどちらを知りません。ただし、Torプロジェクトによって署名されたアプリを起動した場合、Appleはあなたが開いたというかなり良い考えを得ることができます Tor Browser 。
- 要求はIPアドレスと時刻に関連付けられています :これらの要求は、もちろん、日付と時刻とあなたのものと関連付けることができます。 IPアドレス 。それがインターネットの仕組みだけです。 IPアドレスは特定の都市と状態に関連付けられています。各OCSPリクエストは、起動しているアプリを作成した開発者、あなたの一般的な場所、およびアプリを起動した日付と時刻をAppleに指示します。
- 暗号化の欠如はスヌーピングが可能です :OCSPプロトコル 暗号化されていない 。 Appleはこの情報を取得するだけでなく、途中の誰でもこの情報も見ることができます。インターネットサービスプロバイダー、職場ネットワーク管理者、またはスパイ機関の監視インターネットトラフィックでさえ、あなたとアップルの間のOSCPトラフィックを盗聴して、これらすべての詳細を学ぶことができます。これらの要求もサードパーティを通過します コンテンツ配信ネットワーク(CDN) Akamaiという名前。これはそれらを上げます - しかし技術的にスヌープすることができる別の仲買人を追加します。
情報: あなたのMacはあなたが起動しているアプリをアップルに伝えていません。代わりに、あなたのMacはあなたが起動しているアプリを作成したアプリケーションをアップルに伝えるだけです。もちろん、多くの開発者はただ1つのアプリを作成します。この技術的な区別は多くのことはあまり意味がありません。
(覚えておいてください:キャッシング動作への変更では、アプリを起動するたびにAppleを尋ねるだけでなく、Appleには依存していません。5分ごとにはなく12時間ごとにこれをやっています。)
なぜあなたのMacはこれをしているのですか?
あなたが期待できるように、これはすべてセキュリティについてです。 MacはiPadとiPhoneよりもオープンプラットフォームです。 AppleのMac App Storeの外であっても、Appsをどこからでもダウンロードできます。
MACをマルウェアから保護するために - とはい、 Macマルウェアがより一般的になっています - このセキュリティチェックを実装しました。アプリに署名するために使用された証明書が取り消された場合、Macはすぐにアクションに遭遇し、そのアプリを開くことを拒否できます。これにより、AppleはMacが既知の悪意のあるアプリケーションを起動するのを阻止する権限を与えます。
OCSPチェックをブロックできますか?
これらのOCSPチェックは、MacがオフラインであるかOCSP.APPLE.comサーバーに連絡できないときに迅速かつ静かに失敗するように設計されています。
それはそれらをブロックするのが簡単になります.MacがOcsp.apple.comに接続しないようにするただたとえば、ルータ上のこのアドレスをブロックして、ネットワーク上のすべてのデバイスが接続から接続できないようになります。
残念ながら、それは大きなサーティのようです もうLETSを失いません Mac上のソフトウェアレベルのファイアウォールMacの組み込みのTrustDプロセスは、このようなリモートサーバーにアクセスすることを可能にします。
警告: ocsp.apple.comサーバーをブロックした場合、Appleがアプリの開発者証明書を取り消したときにMacは気付きません。セキュリティ機能を無効にすることを選択しています。これにより、Macがリスクになる可能性があります。
Appleは何を言って変更することを約束しますか?
アップルは批判を聞いたようです。 2020年11月16日、会社はについての情報を追加しました ゲートキーパー用の「プライバシー保護」 そのウェブサイトに。
まず、Appleは、これらの証明書またはマルウェアチェックからのデータを他のデータに認識していないと言っています。同社は、どのアプリの個人が自分のMac上で起動しているかを追跡するためにこの情報を使用しないと約束します。
第二に、Appleは、これらの証明書チェックはあなたのApple IDまたはIPアドレスを超えたデバイス固有の情報に関連付けられていないと主張しています。 Appleは、これらの要求に関連したIPアドレスのログ記録を停止し、Appleのログから削除されます。
次の翌年の言葉では、2021年末までに - Appleはそれがこれらの変更を加えるでしょう:
- OCSPを暗号化されたプロトコルに置き換えます :Appleは、開発者証明書をチェックするための暗号化されていないOCSPシステムを置き換えるための新しい暗号化プロトコルを作成すると言います。これにより、中央の誰もが詮索するのを防ぎます。
- スローダウンを止める :Appleはまた、「サーバーの失敗に対する強力な保護」を約束します。
- ユーザーに選択を提供します Appleは、Macユーザーがこれらのセキュリティ保護をオフにすることができ、自分のMACが失効した開発者証明書をチェックするのを防ぐことができると言います。
全体として、これらの変更はさまざまな問題を解消します - 第三者は中途中でスヌープしなくなることがあります。 Macsはそれがあなたが開いたアプリを追跡するために使用できるアップル情報を送信しますが、Appleはその情報をあなたと関連付けることを約束します。 Appleがパフォーマンスの問題も修正されるため、減速は排除されるべきです。
このより良いプロトコルは何でしょうか?さて、AppleはまだOCSPを置き換えるものを言っていません。セキュリティ研究者として スコットヘルメ メモ、何かのようなもの cr cr ここで針をねじ込むのに役立ちます。 MacがAppleから単一のファイルをダウンロードして定期的に更新できるかどうかを想像してみてください。ファイルには、すべての証明書の失効の圧縮されたリストが含まれます。アプリを起動するたびに、あなたのMacはファイルをチェックし、ネットワークチェックとプライバシーの問題を排除します。
あなたのMacは時々アプリハッシュをAppleに送信します
ちなみに、あなたのMacはあなたがAppleのサーバーに開いているアプリのハッシュを送ることがあります。これはOCSPシグネチャチェックとは異なります。代わりに、ゲートキーパーと関係があります 公証 。
開発者はAppleにアプリをアップロードできます。この公証チケット情報は、アプリに「ステープルされている」ことができます。開発者がチケット情報をAppファイルにステープルしない場合、あなたのMacはそのアプリを起動したときにアップルのサーバーにチェックします。
これは初めてアプリの特定のバージョンを起動したときにのみ発生します。そしてオンラインチェックは、ステープルを通じて開発者によって排除することができます。
ここではMacがユニークではありません。たとえば、Windows 10 PCは、ダウンロードアプリに関するデータをアップロードすることがよくあります。 マイクロソフトのスマートスクリーンサービス マルウェアをチェックするには。ウイルス対策プログラムやその他のセキュリティアプリケーションも、不審なアプリに関する情報もセキュリティ会社にアップロードできます。
