Heeft Apple Track Elke Mac App loopt u? OCSP Uitleg

Nov 18, 2024
Algemeen
Omar Tursic / Shutterstock.com

Telefoont je Mac echt thuis naar Apple elke keer dat je een app start? Dat is de bewering die na 12 oktober 2020 rond te vliegen, toen een Apple-server langzaam en moderne Macs duurde om apps te openen. We zullen uitleggen wat er aan de hand is.

Info: Dit is van toepassing op beide MacOS Big Sur en MacOS Catalina . De vertraging en de bijbehorende privacywensen zijn niet nieuw in Macos Big Sur.

Waarom MAC-apps worden ondertekend met ontwikkelaarcertificaten

Op een Mac, apps die u downloadt, of vanuit de MAC-app-winkel of vanaf het web - ondertekend met een ontwikkelaarcertificaat. Wanneer u een app start, controleert deze de app om te controleren of deze door een legitieme ontwikkelaar is ondertekend en dat het niet is geknoeid. Dit helpt je te beschermen tegen malware.

Wanneer Mozilla bijvoorbeeld Firefox maakt, compileert het een Firefox-applicatiebestand en tekent het dan met Mozilla's Developer-certificaat. Dit is de manier van Mozilla om te bewijzen dat het bestand legitiem is en gemaakt door Mozilla. Als het toepassingsbestand is geknoeid met daarna, zal uw Mac het verschil opmerken.

Deze certificaten zijn slechts een paar jaar geldig voor een bepaald tijdsinterval - maar ze kunnen 'vroeg' worden ingetrokken '. Als Apple bijvoorbeeld ontdekt dat een ontwikkelaar zijn certificaat gebruikt om kwaadwillende apps te tekenen, herteken Apple vervolgens het certificaat. Macs laadt geen apps met dat ingetrokken certificaat.

OCSP heeft uitgelegd: waarom is uw Mac-telefoon thuis?

Maar wacht, hoe weet uw Mac of Apple een certificaat heeft ingetrokken bij een app op uw Mac? Om te controleren, gebruikt uw Mac iets dat het online-certificaatstatusprotocol of OCSP wordt genoemd; Het wordt ook gebruikt door webbrowsers om websitecertificaten te controleren terwijl u bladert.

Wanneer u een app start, verzendt uw Mac informatie over zijn certificaat naar een Apple Server bij OCSP.App.apple.com. Uw Mac vraagt ​​deze Apple-server of het certificaat is ingetrokken. Als dat niet het geval is, lanceert uw Mac de app. Als het certificaat is ingetrokken, start uw Mac de app niet.

Gebeurt dit elke keer dat u een app start?

Uw Mac onthoudt deze reacties gedurende een bepaalde periode. Op 12 november 2020 werden reacties gedurende vijf minuten in de cache geplaatst; Met andere woorden, als u een app hebt gelanceerd, gesloten en deze vier minuten later opnieuw hebt gelanceerd, hoefde uw Mac een tweede keer geen appel over het certificaat te vragen. Als u echter een app hebt gelanceerd, gesloten en deze zes minuten later hebt gelanceerd, zou uw Mac de servers van Apple opnieuw moeten vragen.

Om welke reden dan ook vanwege veranderingen in de server van MacOS Big Sur-Apple werd overspoeld en werd het erg traag op 12 november 2020. Antwoorden vertraagd aanzienlijk, en de apps duurden lang om te laden terwijl Macs geduldig is gewacht op een reactie van de traag van Apple als Macs server.

Na die gebeurtenis vertelt de OSCP-server van Apple nu Macs om het certificaatgeldigheidsreacties gedurende 12 uur te onthouden. Je Mac telefoneert thuis en vraagt ​​om een ​​certificaat elke keer dat je een app start - tenzij je een reactie hebt ontvangen in de afgelopen 12 uur, in welk geval het niet nodig heeft. (De informatie over tijdsperioden hier komt uit onafhankelijke app-ontwikkelaar Jeff Johnson .)

Wat als een Mac offline is?

De OCSP-cheque is ontworpen om te falen met genade. Als u offline bent, slaat uw Mac de check- en start-apps normaal in.

Hetzelfde geldt als uw MAC de OCSP.apple.com-server niet kan bereiken, omdat het serveradres is geweest Geblokkeerd op uw netwerk op het routerniveau . Als uw Mac geen contact kan opnemen met de server, slaat u de cheque over en start deze onmiddellijk de app.

Het probleem op 12 november 2020 was dat terwijl Macs de server van Apple kon bereiken, de server zelf traag was. Maar in plaats van stil te slikken en door te gaan met het lanceren van een app, wacht Macs lang op een reactie. Als de server volledig was geweest, zou niemand opgemerkt hebben.

Wat is het privacyrisico? Wat leert Apple?

Drone geananty / shutterstock.com

Er zijn verschillende privacyproblemen die mensen hier hebben meegenomen. Ze zijn uitgewerkt in hacker en beveiligingsonderzoeker Jeffrey Paul's blaarvorming neemt de situatie op .

  • Certificaten zijn geassocieerd met apps : Wanneer uw Mac contacten heeft met de OCSP-server, vraagt ​​het naar een certificaat dat waarschijnlijk is geassocieerd met één app-of, misschien een handvol apps. Technisch gezien vertelt uw Mac geen Apple welke app u hebt gelanceerd. Als u bijvoorbeeld Firefox lanceert, leert Apple gewoon dat u een app hebt gelanceerd die door Mozilla is gemaakt. Het kan Firefox of Thunderbird zijn, maar Apple weet niet welke. Als u echter een app lanceert ondertekend door het TOR-project, kan Apple een redelijk goed idee krijgen dat u de Tor browser .
  • Verzoeken zijn geassocieerd met IP-adressen en tijden : Deze verzoeken kunnen natuurlijk worden geassocieerd met een datum en tijd en uw IP adres . Dat is precies hoe het internet werkt. Uw IP-adres is geassocieerd met een bepaalde stad en staat. Elk OCSP-aanvraag vertelt Apple de ontwikkelaar die de app heeft gemaakt die u lanceert, uw algemene locatie en de datum en tijd waarop u de app hebt gelanceerd.
  • Gebrek aan codering betekent snuffelen is mogelijk : Het OCSP-protocol is niet-gecodeerd . Niet alleen krijgt Apple deze informatie - iedereen in het midden kan deze informatie ook zien. Uw internetprovider, Workplace Network Administrator, of zelfs een SPY-agentschap Monitoring Internet Traffic kan afluisteren op het OSCP-verkeer tussen u en Apple en al deze details leren. Deze verzoeken gaan ook door een derde partij Inhoudsverdelingsnetwerk (CDN) genaamd Akamai. Dit versnelt ze - maar voegt een andere tussenpersoon toe die technisch kan snuffelen.
Info: Je Mac vertelt geen Apple welke app je lanceert. In plaats daarvan vertelt je Mac gewoon Apple welke ontwikkelaar de app is gemaakt die je lanceert. Natuurlijk maken veel ontwikkelaars één app. Dit technische onderscheid betekent vaak niet veel.

(Denk eraan: met de verandering in het gedrag van de caching, vraagt ​​je Mac niet langer Apple elke keer dat je een app start. Het doet dit alleen om de 12 uur in plaats van elke 5 minuten.)

Waarom doet je Mac dit?

Zoals je misschien verwacht, draait dit alles om veiligheid. De Mac is een meer open platform dan de iPad en de iPhone. Je kunt apps overal downloaden, zelfs buiten de App Store van Apple.

Om de Mac te beschermen tegen malware - en ja, Mac Malware is vaker voorkomen -Apple geïmplementeerd deze beveiligingscontrole. Als een certificaat dat wordt gebruikt om een ​​app te ondertekenen, kan uw Mac onmiddellijk in actie komen en weigeren die app te openen. Dit geeft Apple de mogelijkheid om Macs te stoppen om bekende-kwaadwillende apps te starten.

Kun je de OCSP-cheques blokkeren?

Deze OCSP-controles zijn ontworpen om snel en stil te mislukken wanneer een Mac offline is of kan geen contact opnemen met de OCSP.apple.com-server.

Dat maakt ze eenvoudig te blokkeren: voorkomen dat je Mac verbinding maakt met OCSP.apple.com. U kunt dit adres bijvoorbeeld vaak blokkeren op uw router, waardoor alle apparaten op uw netwerk kunnen worden verbonden.

Helaas lijkt het op grote sur laat niet langer Firewalls op software-niveaus op de MAC-blokkering Het ingebouwde vertrouwensproces van Mac van de toegang tot externe servers zoals deze.

Waarschuwing: Als u de OCSP.apple.com-server blokkeert, wordt uw Mac niet opgemerkt wanneer Apple het ontwikkelaarcertificaat van een app heeft ingetrokken. U kiest ervoor om een ​​beveiligingsfunctie uit te schakelen en dit kan uw Mac in gevaar brengen.

Wat zegt Apple en beloof je te veranderen?

guteeksk7 / shutterstock.com

Apple lijkt de kritiek te hebben gehoord. Op 16 november 2020 voegde het bedrijf informatie over "Privacybescherming" voor gatekeeper op zijn website.

Ten eerste zegt Apple dat het nooit gegevens uit deze certificaat of malware-controles heeft gecombineerd met andere gegevens die Apple weet over jou. Het bedrijf belooft deze informatie niet te gebruiken om te volgen welke apps individuen op hun MAC's lanceren.

Ten tweede staat Apple op dat deze certificaatcontroles niet zijn geassocieerd met uw Apple-ID of een apparaatspecifieke informatie die verder gaat dan uw IP-adres. Apple zegt dat het is gestopt met het registreren van IP-adressen die aan deze verzoeken zijn geassocieerd en zal ze verwijderen van de logboeken van Apple.

In het volgende jaar - met andere woorden, tegen het einde van 2021 - Apple zegt dat het deze veranderingen zal doen:

  • Vervang OCSP met een gecodeerd protocol : Apple zegt dat het een nieuw gecodeerd protocol zal creëren om het niet-gecodeerde OCSP-systeem te vervangen voor het controleren van de ontwikkelaarcertificaten. Dit voorkomt iemand in het midden van Snooping.
  • Stop de vertragingen : Apple belooft ook "sterke beschermingen tegen de serverfalen" -in andere woorden, apps zullen niet traag zijn om te laden omdat een server weer vertraagde.
  • Bieden keuze aan gebruikers : Apple zegt dat MAC-gebruikers deze beveiligingsbeveiliging uit kunnen zetten en voorkomen dat hun Mac controleert op ingetrokken ontwikkelaarscertificaten.

Over het algemeen zullen deze veranderingen verschillende problemen opdagen-derden kunnen niet langer in het midden snijden. Macs verzenden nog steeds Apple-informatie die het kan gebruiken om te volgen welke apps die u opent, maar Apple belooft deze informatie met u niet te associëren. Vertragingen moeten worden geëlimineerd, omdat Apple het prestatieprobleem ook is opgelost.

Wat zal dit betere protocol zijn? Nou, Apple heeft nog niet gezegd wat het OCSP zal vervangen door. Als beveiligingsonderzoeker Scott Helme Notities, zoiets Crlite zou de naald hier kunnen helpen. Stel je voor als je Mac een enkel bestand van Apple zou kunnen downloaden en het regelmatig updaten. Het bestand zou een gecomprimeerde lijst bevatten van alle certificaatreprocaties. Wanneer u een app start, kan uw Mac het bestand controleren, de netwerkcontroles en privacyproblemen elimineren.

Je Mac verzendt soms app Hashes naar Apple

Trouwens, je Mac verzendt soms hashes van de apps die je opent voor de servers van Apple. Dit is anders dan de OCSP-handtekeningcontroles. In plaats daarvan heeft het te maken met poortwachter notarisatie .

Ontwikkelaars kunnen apps uploaden naar Apple, die ze controleert op malware en ze vervolgens "notariseert" als ze veilig lijken. Deze notariefkaartinformatie kan worden "geniet" naar de app. Als een ontwikkelaar niet de ticketinformatie naar het app-bestand niet instapt, controleert uw Mac de servers van Apple de eerste keer dat u die app start.

Dit gebeurt alleen de eerste keer dat u een bepaalde versie van een app start - niet elke keer dat het wordt geopend. En de online cheque kan door de ontwikkelaar worden geëlimineerd door nieten.

Macs zijn hier niet uniek. Windows 10-pc's uploaden bijvoorbeeld vaak gegevens over apps die u downloadt Microsoft's SmartScreen-service om te controleren op malware. Antivirusprogramma's en andere beveiligingsaanvragen kunnen ook informatie over verdachte apps naar het beveiligingsmaatschappij uploaden.

Algemeen - Meest populaire artikelen

Wat is een “Raid” in Multiplayer Online Video Games?

Algemeen Nov 15, 2024

Daniel KRASON / Shutterstock.com Raiding is een kernfunctie in massively multiplayer online RPG's. Ze zijn een leuke manier om te communiceren met vrienden (..

Wat doen “WJD” en “HYD” betekenen en hoe worden ze gebruikt?

Algemeen Jan 17, 2025

Vann Vicente Staat u op het punt om een ​​gesprek met iemand te beginnen? De Acroniemen Wyd en Hyd zijn de kortste manieren om een ​​heen en weer met een vriend..

Hoe maak je een moederbord te kiezen voor uw PC: Wat te zoeken

Algemeen Nov 16, 2024

Kreabobek / Shutterstock.com Nieuwe PC bouwt gebeuren langs een gemeenschappelijke baan: U bepaalt uw GPU en processor in welke volgord..

Wat is Dolby Vision?

Algemeen Jul 14, 2025

Dol Hoog dynamisch bereik Video- en gaming-inhoud is mainstream gegaan en een van de toonaangevende technologieën om te ontstaan, is Dolby Vision. Dus wat is ..

Hoe Block Iemand in Gmail

Algemeen Aug 26, 2025

Jij kan Blokkeer mensen op sociale media of zelfs van sms'en, en hetzelfde kan in Gmail worden gedaan. Als je het beu bent om e-mails van iemand te krijgen, kun je ze eenvoudi..

Hoe Fix “Deze website maakt gebruik van een aanzienlijke hoeveelheid energie” op een Mac

Algemeen Aug 25, 2025

Jeff28 / Shutterstock.com Safari is de keuzebrowser voor veel Mac-gebruikers dankzij de energie-optimalisaties en de diepe integratie met Apple-diensten zoal..

Aanbevelingen "voor allen" op Apple TV

Algemeen Oct 29, 2025

De Apple TV-app Gebruikt de horlogegeschiedenis van films en laat zien om aanbevelingen te personaliseren onder de sectie "voor u" of "voor jullie allemaal. U kunt het uitschake..

Hoe u de snelheid en batterij van uw pc kunt stimuleren met één eenvoudige app

Algemeen Oct 24, 2025

Veel dingen gebeuren op uw pc - e -mails, documenten, spreadsheets, alle twintig tabbladen (of meer) die momenteel in uw browser worden geopend, misschien een beetje gaming aan de zijkant. Elk ..

Categorieën