Har din Mac virkelig telefon hjem til Apple hver gang du starter en app? Det er påstanden flyr rundt etter den 12 oktober 2020, da en Apple-server ble sakte og moderne Mac tok lang tid å åpne programmer. Vi skal forklare hva som skjer. [1. 3]
Info: Dette gjelder både MacOS Big Sur og MacOS Catalina . Nedgangen og tilhørende personvern er ikke ny i MacOS Big Sur.
Hvorfor Mac Apps er signert med Utvikler sertifikater
På en Mac apps du laster ned, enten fra Mac App Store eller fra nettet-er signert med en utbygger sertifikat. Når du starter en app, kontrollerer det app for å kontrollere at det ble signert av en legitim utbygger og at det ikke har blitt tuklet med. Dette bidrar til å beskytte deg mot skadelig programvare. [1. 3]
For eksempel når Mozilla skaper Firefox, sammenstiller det en Firefox programfilen og deretter signerer den med Mozillas utbygger sertifikat. Dette er Mozillas måte å bevise at filen er legitim og opprettet av Mozilla. Dersom søknaden filen er tuklet med etterpå, vil Mac merke forskjellen. [1. 3]
Disse sertifikatene er kun gyldig for en bestemt tidsintervall, kanskje et par år-men de kan “opphevet” tidlig. For eksempel, hvis Apple oppdager at en utvikler som bruker sitt sertifikat til å signere ondsinnede programmer, Apple tilbakekaller deretter sertifikatet. Mac vil ikke laste apps med at inndratt sertifikatet. [1. 3]
OCSP Forklart: Hvorfor Har Mac Phone Home?
Men avventende hvordan Mac vet om Apple har opphevet et sertifikat i forbindelse med en app på din Mac? For å sjekke, bruker Mac noe som kalles Online Certificate Status Protocol, eller OCSP; det er også brukt av nettlesere for å sjekke nettstedet sertifikater når du surfer. [1. 3]
Når du starter en app, sender Mac informasjon om sitt sertifikat til en Apple-server på ocsp.apple.com. Mac spør denne Apple serveren om sertifikat er tilbakekalt. Hvis den ikke har det, lanserer Mac app. Hvis sertifikatet er trukket tilbake, vil din Mac ikke starte programmet. [1. 3]
Skjer dette hver gang du starter en app?
Mac husker disse svarene for en periode. 12. november 2020 ble svarene lagret i fem minutter; med andre ord, hvis du lansert en app, lukket den, og lanserte det igjen fire minutter senere, ville Mac ikke å spørre Apple om sertifikatet en gang. Men hvis du lansert en app, lukket den, og lanserte den seks minutter senere, ville Mac må spørre Apples servere igjen. [1. 3]
Uansett grunn, kanskje på grunn av endringer i MacOS Big Sur-Apples serveren var overbelastet og ble veldig treg den 12. november 2020. Svar bremset ned betraktelig, og apps tok lang tid å laste som Mac tålmodig ventet på svar fra Apples treg server. [1. 3]
Etter denne hendelsen, forteller Apples OSCP serveren nå Macs å huske sertifikat validitet svar i 12 timer. Mac vilje telefon hjem og be om et sertifikat hver gang du starter en app med mindre du har fått svar på de siste 12 timene, og da det ikke trenger å. (Informasjon om tidsperioder her kommer fra uavhengige app-utvikler Jeff Johnson .) [1. 3]
Hva om en Mac er offline?
OCSP sjekken er utviklet for å fungere med nåde. Hvis du er frakoblet, vil Mac stille hoppe sjekken og lansere apps som normalt. [1. 3]
Det samme gjelder hvis din Mac ikke kan nå ocsp.apple.com server kanskje fordi serveradresse har vært blokkert på nettverket på ruteren nivå . Hvis din Mac ikke får kontakt med serveren, den hopper sjekken og umiddelbart lanserer app. [1. 3]
Problemet på 12 november 2020 var at mens Mac kunne nå Apples server, serveren selv var treg. Men heller enn å stille sviktende og komme på med å lansere en app, Mac ventet lenge på svar. Hvis serveren hadde vært helt ned, ville ingen ha lagt merke til. [1. 3]
Hva er personvern Risk? Hva gjør Apple lære?
Det er flere personvern bekymringer folk har brakt opp her. De er stavet ut i hacker og sikkerhetsforsker Jeffrey Pauls blæring tar på seg situasjonen . [1. 3]
- Sertifikater er knyttet til apps : Når Macen din kontakter OCSP-serveren, spør den om et sertifikat som sannsynligvis er forbundet med en app-eller kanskje en håndfull apper. Teknisk forteller Macen din Apple, hvilken app du har lansert. For eksempel, hvis du starter Firefox, lærer Apple bare at du har lansert en app opprettet av Mozilla. Det kan være Firefox eller Thunderbird, men Apple vet ikke hvilken. Men hvis du starter en app signert av Tor-prosjektet, kan Apple få en ganske god ide om at du har åpnet Tor nettleser .
- Forespørsler er knyttet til IP-adresser og tider : Disse forespørslene kan selvsagt være knyttet til en dato og klokkeslett og din IP adresse . Det er bare hvordan Internett fungerer. Din IP-adresse er knyttet til en bestemt by og stat. Hver OCSP-forespørsel forteller Apple utvikleren som opprettet appen du lanserer, din generelle plassering og dato og klokkeslett som du lanserte appen.
- Mangel på kryptering betyr snooping er mulig : OCSP-protokollen er ukryptert . Ikke bare får Apple denne informasjonen - noen i midten kan også se denne informasjonen. Din Internett-leverandør, Workplace Network Administrator, eller til og med en spionbyråovervåking Internett-trafikk kan avlyse på OSCP-trafikken mellom deg og Apple og lære alle disse detaljene. Disse forespørslene går også gjennom en tredjepart Content Distribution Network (CDN) kalt Akamai. Dette hastighetene dem opp - men legger til en annen mellommann som kan teknisk snoke.
Info: Din Mac forteller ikke Apple, hvilken app du lanserer. I stedet forteller din Mac bare Apple som utvikler opprettet appen du lanserer. Selvfølgelig lager mange utviklere bare en app. Denne tekniske skillet betyr ofte ikke mye.
(Husk: Med endringen til cachingadferd, spør din Mac ikke lenger Apple hver gang du starter en app. Det gjør bare dette hver 12. time i stedet for hvert 5. minutt.) [1. 3]
Hvorfor gjør din Mac dette?
Som du kanskje forventer, handler dette om sikkerhet. Macen er en mer åpen plattform enn iPad og iPhone. Du kan laste ned apper hvor som helst, selv utenfor Apples Mac App Store. [1. 3]
For å beskytte Mac fra malware og ja, Mac Malware har blitt mer vanlig -Apple implementert denne sikkerhetskontrollen. Hvis et sertifikat som brukes til å signere en app, tilbakekalles, kan din Mac umiddelbart komme til handling og nekte å åpne den appen. Dette gir Apple kraften til å stoppe Macs fra å starte kjente-skadelige apper. [1. 3]
Kan du blokkere OCSP-kontrollene?
Disse OCSP-kontrollene er utformet for å raskt og stille feil når en Mac enten er offline eller ikke kan kontakte OCSP.Apple.com-serveren. [1. 3]
Det gjør dem enkle å blokkere: Bare hindre at Macen kobles til ocsp.apple.com. For eksempel kan du ofte blokkere denne adressen på ruteren din, slik at alle enhetene på nettverket kobles til det. [1. 3]
Dessverre virker det som stor sur ikke lenger let Programvare-nivå brannmurer på Mac blokkerer Macs innebygde TRUSTD-prosessen fra å få tilgang til eksterne servere som dette. [1. 3]
Advarsel: Hvis du blokkerer OCSP.Apple.com-serveren, vil din Mac ikke merke når Apple har tilbakekalt en apps utvikler sertifikat. Du velger å deaktivere en sikkerhetsfunksjon, og dette kan sette din Mac i fare.
Hva sier eple og lover å forandre seg?
Apple ser ut til å ha hørt kritikken. Den 16. november 2020 la selskapet informasjon om "Privacy Protections" for gatekeeper på sin nettside. [1. 3]
For det første sier Apple at det aldri har kombinerte data fra disse sertifikatet eller malware sjekker med andre data-eple vet om deg. Selskapet lover det ikke bruker denne informasjonen til å spore hvilke apper enkeltpersoner som lanserer på deres Mac. [1. 3]
For det andre insisterer Apple at disse sertifikatkontrollene ikke er knyttet til Apple ID eller en hvilken som helst enhetsspesifikk informasjon utover din IP-adresse. Apple sier at det har sluttet å logge IP-adresser knyttet til disse forespørslene, og vil fjerne dem fra Apples logger. [1. 3]
I løpet av neste år, med andre ord, innen utgangen av 2021 - Apple sier det vil gjøre disse endringene: [1. 3]
- Bytt OCSP Med en kryptert protokoll : Apple sier det vil skape en ny kryptert protokoll for å erstatte ukryptert OCSP system for å kontrollere utviklersertifikater. Dette vil forhindre noen i midten fra snusing.
- Stopp Forsinkelser : Apple lover også “sterk beskyttelse mot serverfeil” -i andre ord, vil apps ikke være treg å laste fordi serveren bremset ned igjen.
- Gi valg til brukere : Apple sier Mac-brukere vil være i stand til å slå disse sikkerhets beskyttelse av og hindre deres Mac fra å se etter tilbakekalt utviklersertifikater.
Samlet er disse endringene vil eliminere forskjellige problemer-tredjeparter kan ikke lenger Snoop i midten. Mac vil fortsatt sende Apple informasjon de kan bruke til å spore hvilke programmer du åpner, men Apple lover å ikke knytte denne informasjonen med deg. Forsinkelser bør fjernes så Apple fikser ytelsen problemet, også. [1. 3]
Hva vil dette bedre protokollen være? Vel, har Apple ennå ikke sagt hva det vil erstatte OCSP med. Som sikkerhetsforsker Scott Helme notater, noe som CRLite kunne hjelpe træ nålen her. Tenk om din Mac kan laste ned en enkelt fil fra Apple og jevnlig oppdatere den. Filen vil inneholde en komprimert oversikt over alle sertifikat tilbakekall. Når du starter en app, kan din Mac sjekke filen, eliminerer nettverkskontroller og personvernproblemer. [1. 3]
Mac Does noen ganger sender App hashes til Apple
Forresten, ikke din Mac sender noen ganger hashes av programmene du åpner til Apples servere. Dette er forskjellig fra de OCSP signatur sjekker. I stedet har det å gjøre med Gatekeeper notarization . [1. 3]
Utviklere kan laste opp programmer til Apple, som sjekker dem for malware og deretter “notarizes” dem hvis de synes trygt. Dette notarization billettinformasjon kan være “stiftes” i app. Hvis en utvikler ikke stifte billettinformasjon til app-fil, vil Mac sjekke med Apples servere første gang du starter det programmet. [1. 3]
Dette skjer bare første gang du starter en gitt versjon av en app-ikke hver gang den åpnes. Og online innsjekking kan elimineres av utbygger gjennom stifting. [1. 3]
Mac er ikke unikt her. For eksempel Windows 10 PC-er ofte laste opp data om programmer du laster ned til Microsofts Smartscreen-tjenesten for å se etter malware. Antivirusprogrammer og andre sikkerhetsprogrammer kan laste opp informasjon om mistenkelig ser apps til sikkerhetsselskap, også. [1. 3]
