Czy twój komputer Mac jest naprawdę do domu do Apple za każdym razem, gdy uruchomisz aplikację? To zarzut latający po 12 października 2020 r., Kiedy serwer Apple stał się powolny, a nowoczesne Macs zajęło dużo czasu, aby otworzyć aplikacje. Wyjaśnimy, co się dzieje.
Informacje: Dotyczy to obu MacOS Big Sur. oraz Macos Catalina. . Spowolnienie i powiązane obawy dotyczące prywatności nie są nowe w MacOS Big Sur.
Dlaczego aplikacje Mac są podpisane certyfikatami deweloperów
Na komputerze Mac aplikacje pobierasz - niezależnie od tego, czy z App Store lub z Internetu są podpisane za pomocą certyfikatu dewelopera. Za każdym razem, gdy uruchomisz aplikację, sprawdza aplikację, aby sprawdzić, czy został podpisany przez uzasadniony deweloper i że nie został zmuszony. Pomaga to chronić przed złośliwym oprogramowaniem.
Na przykład, gdy Mozilla tworzy Firefoksa, kompiluje plik aplikacji Firefox, a następnie podpisuje go za pomocą certyfikatu deweloperskiego Mozilla. Jest to sposób okazania Mozilli, że plik jest uzasadniony i stworzony przez Mozillę. Jeśli plik aplikacji jest manipulowany później, komputer Mac zauważą różnicę.
Certyfikaty te są ważne tylko przez określony czas - być może kilka lat - ale mogą być "cofnięte" wcześnie. Na przykład, jeśli Apple odkrywa, że deweloper używa swojego certyfikatu do podpisania złośliwych aplikacji, Apple następnie odrzuca certyfikat. Macs nie ładuje aplikacji z tym odwołanym certyfikatem.
OCSP wyjaśnił: Dlaczego twój telefon MAC?
Ale czekaj, jak twój komputer Mac wie, czy Apple odwołał certyfikat związany z aplikacją na komputerze Mac? Aby sprawdzić, Twój Mac używa czegoś o nazwie protokołu stanu certyfikatu online lub OCSP; Jest również używany przez przeglądarki internetowe, aby sprawdzić certyfikaty witryny podczas przeglądania.
Po uruchomieniu aplikacji komputer Mac wysyła informacje o swoim certyfikacie na serwer Apple w OCSP.apple.com. Twój komputer Mac pyta ten serwer Apple, czy certyfikat został odwołany. Jeśli nie, twój Mac uruchomi aplikację. Jeśli certyfikat został odwołany, komputer Mac nie uruchomi aplikacji.
Czy to się stało za każdym razem, gdy uruchomisz aplikację?
Twój Mac pamięta te odpowiedzi na pewien okres czasu. 12 listopada 2020 r. Odpowiedzi były buforowane przez pięć minut; Innymi słowy, jeśli uruchomiłeś aplikację, zamknęła ją i uruchomił ją ponownie cztery minuty później, twój Mac nie musiałby poprosić Apple o certyfikat po raz drugi. Jednakże, jeśli uruchomiłeś aplikację, zamknąłeś go, i uruchomił ją sześć minut później, twój Mac musiałby ponownie poprosić serwery Apple.
Z jakiegokolwiek powodu - być może ze względu na zmiany w serwerach MacOS Big Sur-Apple został zalany i stał się bardzo powolny 12 listopada 2020. Odpowiedzi znacznie spowalniały, a aplikacje zajmowały ładunek, ponieważ pacjent cierpliwie nie czekał na odpowiedź z powoli Apple serwer.
Po tym wydarzeniu serwer OSCP Apple mówi obecnie Mac, aby zapamiętać odpowietki ważności certyfikatu na 12 godzin. Twój komputer Mac pojawi się do domu i poprosić o certyfikat za każdym razem, gdy uruchomisz aplikację - chyba że otrzymałeś odpowiedź w ciągu ostatnich 12 godzin, w którym to przypadku nie będzie musiała. (Informacje o okresach czasowych pochodzi z niezależnego programisty aplikacji Jeff Johnson. .)
Co jeśli mac jest offline?
Sprawdzanie OCSP jest zaprojektowany, aby zawodzić z łaską. Jeśli jesteś offline, twój komputer Mac cicho pomiń zaznaczenie i uruchomić aplikacje.
To samo dotyczy, jeśli komputer Mac nie może dotrzeć do serwera ocsp.apple.com - być może, ponieważ adres serwera był Zablokowany w sieci na poziomie routera . Jeśli komputer Mac nie może skontaktować się z serwerem, pomija czek i natychmiast uruchamia aplikację.
Problem z 12 listopada 2020 r., Gdy MACS mógł osiągnąć serwer Apple, sam serwer był powolny. Ale raczej w milczeniu niepowodzeniem i kontynuowanie rozpoczęcia aplikacji, Macs czekał długo na odpowiedź. Jeśli serwer był całkowicie całkowicie, nikt nie zauważyłby.
Jakie jest ryzyko prywatności? Co dowie się Apple?
Istnieje kilka problemów prywatności, które ludzie wychowali tutaj. Są one określone w badaczem hakerów i bezpieczeństwa Pężarstwo Jeffrey Paula podejmuje sytuację .
- Certyfikaty są związane z aplikacjami : Gdy komputer Mac kontaktuje serwer OCSP, pyta o certyfikat prawdopodobnie związany z jedną aplikacją lub, może garść aplikacji. Technicznie twój komputer Mac nie mówi Apple, który uruchomiłeś aplikację. Na przykład, jeśli uruchomisz Firefox, Apple dowie się, że uruchomiłeś aplikację stworzoną przez Mozillę. To może być Firefox lub Thunderbird, ale Apple nie wie, co. Jeśli jednak uruchomisz aplikację podpisaną przez projekt TOR, Apple może uzyskać całkiem dobry pomysł, że otworzyłeś Tor przeglądarka .
- Żądania są powiązane z adresami i czasami IP : Te prośby mogą oczywiście związać się z datą i godziną i Twoim adres IP . Tak właśnie działa Internet. Twój adres IP jest związany z określonym miastem i stanem. Każda prośba OCSP mówi Apple Deweloper, który stworzył aplikację, którą uruchomisz, ogólną lokalizację oraz datę i godzinę, na której uruchomiłeś aplikację.
- Brak szyfrowania oznacza, że Snooping jest możliwe : Protokół OCSP jest niezaszyfrowany . Nie tylko jabłko otrzymuje te informacje - każdy w środku może również zobaczyć te informacje. Twój dostawca usług internetowych, administrator sieci w miejscu pracy, a nawet agencja szpiegowska Monitoring Internet Monitoring może podsłuchować na ruchu OSCP między Tobą a Apple i dowiedzieć się wszystkich tych szczegółów. Te prośby przechodzą również przez stronę trzecią Network dystrybucji treści (CDN) nazwany Akamai. Przyspiesza to, ale dodaje kolejny pośrednik, który mógł technicznie snoop.
Informacje: Twój Mac nie mówi Apple, które uruchomisz aplikację. Zamiast tego twój komputer Mac tylko mówi Apple, który programista stworzył aplikację, którą uruchomisz. Oczywiście wielu programistów wystarczy tworzyć jedną aplikację. To rozróżnienie techniczne często nie znaczy wiele.
(Pamiętaj: Wraz ze zmianą zachowania buforowania, komputer Mac nie jest już pyta Apple za każdym razem, gdy uruchomisz aplikację. To robi to tylko co 12 godzin zamiast co 5 minut.)
Dlaczego twój komputer Mac to robi?
Jak można się spodziewać, chodzi o bezpieczeństwo. Mac jest bardziej otwartą platformą niż iPad i iPhone. Możesz pobrać aplikacje z dowolnego miejsca, nawet poza Apple Mac App Store.
Aby chronić Mac przed złośliwym oprogramowaniem i tak, Mac złośliwe oprogramowanie stało się bardziej powszechne -Plaple wdrożył tę kontrolę bezpieczeństwa. Jeśli certyfikat używany do podpisania aplikacji zostanie odwołany, komputer Mac może natychmiast sprężyć do działania i odmówić otworzenia tej aplikacji. Daje to Apple o mocy, aby powstrzymać Mac z uruchamiania znanych złośliwych aplikacji.
Czy możesz zablokować kontrole OCSP?
Te kontrole OCSP są zaprojektowane do szybkiego i cichego niepowodzenia, gdy komputer Mac jest w trybie offline lub nie może skontaktować się z serwerem OCSP.apple.com.
To sprawia, że są proste do zablokowania: po prostu uniemożliwiają łączenie się do komputera Mac z OCSP.apple.com. Na przykład, często można blokować ten adres na routerze, zapobiegając łączeniu wszystkich urządzeń w sieci.
Niestety, wydaje się to duży sur już nie pozwala Zapory na poziomie oprogramowania na komputerze Mac blokują wbudowany proces Trustd Mac z dostępu do serwerów zdalnych.
Ostrzeżenie: Jeśli blokujesz serwer OCSP.Apple.com, komputer Mac nie zauważy, gdy Apple odwołał certyfikat dewelopera aplikacji. Wybierasz funkcję zabezpieczenia, a to mogło narażać się na ryzyko Mac.
Co mówi i obiecuje zmianę?
Apple wydaje się usłyszeć krytykę. 16 listopada 2020 r. Spółka dodała informacje o "Zabezpieczenia prywatności" dla strażnika na swojej stronie internetowej.
Po pierwsze, Apple mówi, że nigdy nie łączy się danych z tych certyfikatów ani złośliwych kontroli z jakimkolwiek innym jabłkiem danych wie o tobie. Spółka obiecuje, że nie wykorzystuje tych informacji, aby śledzić, które osoby fizyczne uruchamiają się na swoich komputerach Macs.
Po drugie, Apple nalega, aby te kontrole certyfikatów nie są powiązane z identyfikatorem Apple ID lub dowolnymi informacjami specyficznych dla urządzeń poza adresem IP. Apple mówi, że przestał rejestrować adresy IP związane z tymi żądaniami i usunąć je z dzienników Apple.
W ciągu następnego roku, innymi słowy, do końca roku 2021 - Apple twierdzi, że będzie dokonać tych zmian:
- Wymienić OCSP Z protokołu szyfrowanego : Apple mówi stworzy nową szyfrowany protokół zastąpić niezaszyfrowane systemu OCSP do sprawdzania certyfikatów Developer. Zapobiegnie to nikogo w środku z snooping.
- Powstrzymać spowolnienie : Jabłko zapowiada również „silne zabezpieczenia przed awarią serwera” -W Innymi słowy, aplikacje nie będą wolne od obciążenia, ponieważ serwer zwolnił ponownie.
- Wybór, aby zapewnić użytkowników : Apple mówi użytkownicy komputerów Mac będą mogli włączyć te zabezpieczenia bezpieczeństwa off i zapobiec ich Mac od sprawdzania certyfikatów unieważnionych deweloperskich.
Ogólnie rzecz biorąc, zmiany te będą eliminować różne problemy trzeciej strony mogą nie snoop w środku. Macs nadal będzie wysyłać informacje Apple może to wykorzystać do śledzenia aplikacje, które po otwarciu, ale Apple obiecuje nie skojarzyć, że informacje z wami. Spowolnienie powinno zostać wyeliminowane jak Apple rozwiązuje problemy z wydajnością, too.
Co to będzie lepiej protokół będzie? Cóż, Apple jeszcze nie powiedział, co zastąpi ona z OCSP. Jako badacz bezpieczeństwa Scott Kaski notatki, coś jak CRLite może pomóc nawlec igłę tutaj. Wyobraź sobie, że Twój Mac może pobrać jeden plik od firmy Apple i regularnie aktualizować. Plik będzie zawierać sprężony listę wszystkich unieważnień certyfikatów. Kiedykolwiek uruchomić aplikację, komputer Mac mógł sprawdzić plik, eliminując kontroli sieci i problemów ochrony prywatności.
Mac Does Czasami Wyślij do Apple App mieszań
Nawiasem mówiąc, Mac ma czasami wysłać mieszań z aplikacji, które otwierają się do serwerów Apple. To różni się od kontroli sygnatur OCSP. Zamiast tego, że ma do czynienia z Gatekeeper notarialnego .
Deweloperzy mogą przesyłać aplikacje Apple, który sprawdza je w poszukiwaniu złośliwego oprogramowania, a następnie „notarizes” je jeśli wydają się bezpieczne. Ta informacja może być bilet notarialnego „zszywane” do aplikacji. Jeśli deweloper nie odcinkowych informacje biletów do pliku aplikacji, Mac sprawdzi z serwerami Apple po raz pierwszy, że aplikację uruchomieniu.
Dzieje się tak tylko przy pierwszym uruchomieniu danej wersji z app-nie za każdym razem otwiera. I check-line mogą być wyeliminowane przez dewelopera poprzez zszywanie.
Mac nie są tu wyjątkowy. Na przykład, Windows 10 komputery często przesyłać dane o aplikacjach pobrać do Usługa Microsoft SmartScreen sprawdzić pod kątem złośliwego oprogramowania. programy antywirusowe i inne aplikacje zabezpieczające mogą przesyłać informacje o podejrzanych wyglądzie aplikacji do firmy ochroniarskiej, zbyt.
