Har din Mac verkligen ringa hem till Apple varje gång du startar en app? Det är påståendet flyger runt efter 12 oktober 2020, när en Apple-server blev långsam och modern Mac tog lång tid att öppna program. Vi ska förklara vad som händer.
Info: Detta gäller både MacOS Big Sur och MacOS Catalina . Avmattningen och tillhörande integritetsfrågor är inte nya i MacOS Big Sur.
Varför Mac Apps är signerade med utvecklare Certifikat
På en Mac apps du hämta, vare sig från Mac App Store eller från web-tecknas med ett utvecklarcertifikat. När du startar en app kontrollerar den appen för att verifiera att det undertecknades av ett berättigat utvecklare och att det inte har manipulerats. Detta hjälper till att skydda dig från skadlig kod.
Till exempel när Mozilla skapar Firefox, samman det en Firefox programfil och sedan tecknar det med Mozillas utvecklarcertifikat. Detta är Mozillas sätt att bevisa att filen är legitim och skapad av Mozilla. Om programfilen manipuleras efteråt kommer din Mac att märka skillnaden.
Dessa certifikat gäller endast för en viss tidsintervall, kanske ett par år, men de kan ”återkallas” tidigt. Till exempel, om Apple upptäcker att en utvecklare använder sitt certifikat för att signera skadliga program, Apple återkallar sedan certifikatet. Mac kommer inte att ladda program med det återkallade certifikat.
OCSP Explained: Varför din Mac ringa hem?
Men vänta-hur din Mac veta om Apple har återkallat ett certifikat i samband med en app på din Mac? För att kontrollera, använder din Mac något som kallas Online Certificate Status Protocol, eller OCSP; det är också används av webbläsare för att kontrollera webbcertifikat när du surfar.
När du startar en app skickar din Mac information om dess certifikat till en Apple-server på ocsp.apple.com. Din Mac ber denna Apple-server om certifikatet har återkallats. Om den har inte din Mac startar appen. Om certifikatet har återkallats, kommer din Mac inte starta app.
Händer det varje gång du startar en app?
Din Mac minns dessa svar för en viss tidsperiod. Den 12 november 2020 var svar cachad under fem minuter; Med andra ord, om du lanserat en app, stängde den, och lanserade det igen fyra minuter senare, skulle din Mac inte behöva be Apple om certifikatet en andra gång. Men om du lanserat en app, stängde den, och lanserade den sex minuter senare, skulle din Mac behöva be Apples servrar igen.
Av någon anledning, kanske på grund av förändringar i MacOS Big Sur-Apples server var översvämmas och blev mycket långsam den 12 november 2020. Svar avtog avsevärt och apps tog lång tid att ladda som Mac tålmodigt väntat på ett svar från Apples långsam server.
Efter denna händelse, säger Apples OSCP server nu Mac att komma ihåg certifikatgiltighetssvar i 12 timmar. Din Mac kommer att ringa hem och be om ett intyg varje gång du startar en app-om du inte har fått något svar under de senaste 12 timmarna, i vilket fall det inte behöver. (Informationen om tidsperioder här kommer från oberoende app utvecklare Jeff Johnson .)
Vad händer om en Mac är offline?
OCSP kontroll är utformad för att misslyckas med nåd. Om du är offline, kommer din Mac tyst hoppa kontrollen och starta appar normalt.
Detsamma gäller om din Mac inte kan nå ocsp.apple.com server kanske på grund av serveradress har varit blockerade på nätverket på routernivå . Om din Mac inte kan kontakta servern, hoppar den kontrollen och omedelbart startar appen.
Problemet den 12 november 2020 att medan Mac kunde nå Apples server, själva servern var långsam. Men i stället för tyst misslyckas och gå vidare med att lansera en app, Mac väntat länge på ett svar. Om servern hade varit nere helt, ingen skulle ha lagt märke.
Vad är Privacy Risk? Vad betyder Apple Lär?
Det finns flera integritetsfrågor människor har fört upp här. De preciseras i hacker och säkerhetsforskare Jeffrey Paul blåsor ta på situationen .
- Certifikat är förknippade med Apps : När din Mac kontaktar OCSP server, frågar det om ett certifikat som sannolikt är kopplad till en app-eller kanske en handfull apps. Tekniskt sett har din Mac inte säga Apple som app du har lanserat. Till exempel, om du startar Firefox, Apple bara lär sig att du har lanserat en app som skapats av Mozilla. Det kan vara Firefox eller Thunderbird, men Apple vet inte vilken. Men om du startar en app som undertecknats av Tor Project, kan Apple få en ganska bra idé att du har öppnat Tor Browser .
- Begäran är förknippade med IP-adresser och tider : Dessa önskemål kan givetvis vara associerat med ett datum och tid och din IP-adress . Det är bara hur internet fungerar. Din IP-adress är associerad med en viss stad och stat. Varje begäran OCSP berättar Apple utvecklaren som skapade appen du lanserar din allmänna plats och datum och tid som du lanserade app.
- Brist på kryptering Means snooping är möjligt : Den OCSP protokollet är okrypterad . Inte bara Apple få denna informations någon i mitten kan se även denna information. Din Internetleverantör, arbetsplats nätverksadministratör, eller ens en spionbyrå övervakar internettrafik skulle kunna avlyssna den OSCP trafiken mellan dig och Apple och lära sig alla dessa detaljer. Dessa önskemål går även via en tredje part distribution av innehåll nätverk (CDN) namnges Akamai. Detta snabbar upp dem, men tillägger en annan mellanhand som tekniskt sett kan snoka.
Info: Din Mac är inte tala om Apple som app du lansering. Istället är din Mac bara tala om Apple som utvecklare skapat appen du lansering. Naturligtvis många utvecklare skapa bara en app. Denna tekniska distinktion ofta betyder inte mycket.
(Kom ihåg: Med förändringen till caching beteende, är din Mac inte längre be Apple varje gång du startar en app Det är bara att göra detta var 12 timmar i stället för var 5 minuter..)
Varför är din Mac göra detta?
Som du kanske tror, handlar det om säkerhet. Mac är en mer öppen plattform än iPad och iPhone. Du kan ladda ner program från var som helst, även utanför Apples Mac App Store.
För att skydda datorn från skadlig kod-och ja, Mac malware har blivit allt vanligare -Apple genomfört denna säkerhetskontroll. Om ett certifikat som används för att signera en app återkallas, din Mac omedelbart våren i handling och vägrar att öppna den app. Detta ger Apple befogenhet att stoppa Mac från att lansera känd-skadliga program.
Kan du blockera OCSP Kontroller?
Dessa OCSP kontroller är utformade för att snabbt och tyst misslyckas när en Mac är antingen offline eller inte kan kontakta ocsp.apple.com server.
Det gör dem enkla att block: Just hindrar din Mac från att ansluta till ocsp.apple.com. Till exempel kan du ofta blockera denna adress på routern, vilket förhindrar alla enheter i nätverket från att ansluta till det.
Tyvärr verkar det som Big Sur inte längre låter mjukvarunivå brandväggar på Mac blocket Mac inbyggda trustd process från att komma åt fjärrservrar som denna.
Varning: Om du blockerar ocsp.apple.com server, din Mac kommer inte att märka när Apple har återkallat en app utvecklarcertifikat. Du väljer att inaktivera en säkerhetsfunktion och detta kan sätta din Mac i riskzonen.
Vad betyder Apple Say och lovar att ändra?
Apple verkar ha hört kritik. Den 16 november 2020 lade företaget information om ”integritetsskydd” för Gatekeeper på sin webbplats.
Först säger Apple har aldrig kombinerade data från dessa certifikat eller skadliga kontroller med andra data Apple vet om dig. Företaget lovar att det inte använda denna information för att spåra vilka appar individer lanserar sina Mac-datorer.
För det andra, insisterar Apple att dessa certifikat kontrollerna inte är förknippade med ditt Apple-ID eller någon enhetsspecifik information utöver din IP-adress. Apple säger att det har slutat loggning IP-adresser i samband med dessa ansökningar och kommer att ta bort dem från Apples stockar.
Under senare år - i andra ord, i slutet av 2021 - säger Apple att det kommer att göra dessa ändringar:
- Byt OCSP med ett krypterat protokoll : Apple säger att det kommer att skapa ett nytt krypterat protokoll för att ersätta det okrypterade OCSP-systemet för att kontrollera utvecklarcertifikat. Detta kommer att förhindra att någon i mitten från snooping.
- Stoppa avmattningarna : Apple lovar också "starka skydd mot serverfel" -In andra ord, apps kommer inte att vara långsamma att ladda eftersom en server saktade igen.
- Ge användarnas val : Apple säger att Mac-användare kommer att kunna stänga av dessa säkerhetsskydd och förhindra att deras MAC kontrollerar för återkallade utvecklarcertifikat.
Sammantaget kommer dessa förändringar att eliminera olika problem - tredje part kan inte längre snoop i mitten. Macs kommer fortfarande att skicka Apple-information som den kan använda för att spåra vilka appar du öppnar, men Apple lovar att inte associera den informationen med dig. Avmattning bör elimineras som Apple fixar prestandaproblemet också.
Vad ska detta bättre protokoll vara? Tja, äpple har ännu inte sagt vad det kommer att ersätta OCSP med. Som säkerhetsforskare Scott Helme anteckningar, något som Plit kan hjälpa till att tränga nålen här. Tänk om din Mac kan ladda ner en enda fil från Apple och uppdatera den regelbundet. Filen skulle innehålla en komprimerad lista över alla certifikatåterkalkningar. När du startar en app kan din Mac markera filen, vilket eliminerar nätverkskontrollerna och integritetsproblemen.
Din Mac skickar ibland App Hashs till Apple
Förresten skickar din Mac ibland hash av de appar du öppnar för Apples servrar. Detta skiljer sig från OCSP-signaturkontrollerna. Istället har det att göra med gatekeeper notarisering .
Utvecklare kan ladda upp appar till Apple, som kontrollerar dem för skadlig kod och sedan "notariserar" dem om de verkar säkra. Denna notariseringsbiljettinformation kan vara "häftad" till appen. Om en utvecklare inte staplar biljettinformationen till App-filen, kommer din Mac att kontrollera med Apples servrar första gången du startar den appen.
Detta händer bara första gången du startar en viss version av en app-inte varje gång den öppnas. Och online-kontrollen kan elimineras av utvecklaren genom häftning.
Macs är inte unika här. Till exempel laddar Windows 10 st ofta data om apps du hämtar till Microsofts SmartScreen-tjänst att kontrollera om malware. Antivirusprogram och andra säkerhetsprogram kan också ladda upp information om misstänkta appar till säkerhetsföretaget.
