Чи ваш Mac дійсно телефонний додому до Apple кожного разу, коли ви запускаєте додаток? Це твердження, що летить приблизно після 12 жовтня 2020 року, коли сервер Apple став повільним, а сучасні Mac задовго зайняли для відкриття додатків. Ми пояснимо, що відбувається.
Інформація: Це стосується обох Macos Big Sur і MacOS Catalina . Уповільнення та пов'язані з ними конфіденційності не є новими в Macos Big Sur.
Чому програми Mac підписуються з сертифікатами розробника
На Mac, додатки, які ви завантажуєте - чи з Mac App Store або з веб-сторінки підписані сертифікатом розробника. Кожного разу, коли ви запускаєте додаток, він перевіряє програму, щоб перевірити, що він був підписаний законним розробником, і це не було підключено. Це допомагає захистити вас від шкідливих програм.
Наприклад, коли Mozilla створює Firefox, він складається з файлу додатків Firefox, а потім підписує його з сертифікатом розробника Mozilla. Це спосіб доведення мозилла, що файл є законним і створений Mozilla. Якщо файл програми завершується згодом, ваш Mac помітить різницю.
Ці сертифікати дійсні лише для певного інтервалу часу, можливо, кілька років - але вони можуть бути "скасовані" рано. Наприклад, якщо Apple виявляє, що розробник використовує свій сертифікат, щоб означати шкідливі програми, Apple потім скасовує сертифікат. Macs не завантажують програми з цим скасованим сертифікатом.
OCSP пояснив: чому ваш Mac Phone Home?
Але дочекайтеся, як ваш Mac знає, чи Apple скасував сертифікат, пов'язаний з додатком на вашому Mac? Щоб перевірити, ваш MAC використовує щось, що називається протоколом статусу служби сертифіката або OCSP; Він також використовується веб-браузерами, щоб перевірити сертифікати веб-сайту під час перегляду.
Коли ви запускаєте додаток, ваш MAC надсилає інформацію про свій сертифікат на сервер Apple на OCSP.Apple.com. Ваш MAC запитує цей сервер Apple, чи було скасовано сертифікат. Якщо це не так, ваш Mac запускає програму. Якщо сертифікат був скасований, ваш MAC не запустить додаток.
Чи відбувається це кожен раз, коли ви запускаєте додаток?
Ваш Mac пам'ятає ці відповіді протягом певного періоду часу. 12 листопада 2020 року відповіді були кешовані протягом п'яти хвилин; Іншими словами, якщо ви запустили додаток, закрив його, і запустив його ще через чотири хвилини, ваш Mac не доведеться запитувати Apple про сертифікат другий раз. Однак, якщо ви запустили додаток, закрив його, і запустив його через шість хвилин, ваш Mac доведеться знову попросити серверів Apple.
За будь-якої причини - можливо, через зміни в MacOS Big Sur-Apple сервер був затоплений і став дуже повільно 12 листопада 2020 року. Відповіді значно сповільнилися, а додатки тривалий час займалися, оскільки Macs терпляче чекали відповіді від повільного використання Apple сервер.
Після цієї події Apple OSCP-сервер тепер розповідає Macs, щоб запам'ятати відповіді на термін дії сертифікатів протягом 12 годин. Ваш Mac буде телефонувати додому і запитайте про сертифікат кожного разу, коли ви запускаєте додаток, якщо ви не отримали відповіді за останні 12 годин, в цьому випадку це не буде потрібно. (Інформація про періоди часу тут походить від незалежного розробника додатків Джефф Джонсон .)
Що робити, якщо Mac знаходиться в автономному режимі?
Перевірка OCSP призначена для невдачі з благодаттю. Якщо ви в автономному режимі, ваш MAC буде мовчки, пропустити перевірку та запустити програми звичайно.
Те саме стосується, якщо ваш MAC не може досягти сервера OCSP.Apple.com, можливо, тому що адреса сервера була Заблоковано у вашій мережі на рівні маршрутизатора . Якщо ваш MAC не може зв'язатися з сервером, він пропускає чек і негайно запускає додаток.
Проблема 12 листопада 2020 р. Була те, що, хоча Macs може досягти сервера Apple, сам сервер був повільним. Але, а не мовчки, не вдаючись до запуску програми, MACS довго чекав відповіді. Якщо сервер повністю був повністю, ніхто не помітив.
Який ризик конфіденційності? Що дізнається Apple?
Є кілька проблем приватності людей вихованих тут. Вони викладені в хакером і дослідник безпеки здуття взяти Джеффрі Пола на ситуації .
- Сертифікати, пов'язане з додатком Коли ваші контакти Mac з сервером OCSP, він запитує про сертифікат, який, ймовірно, пов'язаний з одним додатком, або, можливо, декількох додатків. Технічно, ваш Mac не говорить Apple, який додаток ви запустили. Наприклад, якщо ви запустите Firefox, Apple тільки дізнається, що ви запустили додаток, створене Mozilla. Це може бути Firefox або Thunderbird, але Apple, не знає. Проте, якщо ви запускаєте додаток, підписана в рамках проекту Tor, Apple може отримати досить гарне уявлення про те, що ви відкрили Tor Browser .
- Запити, пов'язані з IP-адреси і часи Ці запити можуть, звичайно, бути пов'язані з датою і часом вашого IP-адреса . Це просто, як працює Інтернет. Ваш IP-адреса пов'язаний з певним містом і державою. Кожен запит OCSP говорить Apple, розробник, який створив додаток ви запускаєте, ваше місце розташування, а також дату і час, на якому ви запустили додаток.
- Відсутність шифрування Засоби Snooping здійсненна : Протокол OCSP є незашифрованому . Мало того, що Apple, отримати цю інформацію-хто-небудь в середині можна також побачити цю інформацію. Ваш інтернет-провайдер, на робочому місці адміністратора мережі або навіть розвідувальне агентство моніторингу інтернет-трафіку може перехоплювати трафік ОМТП між вами і Apple, і вивчити всі ці деталі. Ці запити також пройти третю сторону Зміст розподілу мережі (CDN) названий Akamai. Це прискорює їх, але додає ще один посередник, який може технічно Snoop.
Інформація: Ваш Mac не говорить Apple, який додаток ви запускаєте. Замість цього, ваш Mac просто говорить Apple, який розробник створив додаток ви запускаєте. Звичайно, багато розробників просто створити один додаток. Це технічне відмінність часто не означає багато.
(Пам'ятаєте: Зі зміною в поведінці кешування, ваш Mac більше не просять Apple, кожен раз, коли ви запускаєте додаток, це тільки робить це кожні 12 годин, а не через кожні 5 хвилин.).
Чому Ваш Mac це робить?
Як і слід було очікувати, це все про безпеку. Mac є більш відкритою платформою, ніж IPad і iPhone. Ви можете завантажувати додатки з будь-якого місця, навіть за межами Mac App Store компанії Apple.
Для захисту Mac від шкідливих програм і так, Mac шкідливих програм стають все більш поширеними -Apple реалізували цю перевірку безпеки. Якщо сертифікат, який використовується для підпису додатка анульовано, ваш Mac може відразу ж навесні в дію і покидьки, щоб відкрити цей додаток. Це дає компанії Apple право зупинити Macs від запуску свідомо шкідливих додатків.
Може Ви Закривати OCSP перевірки?
Ці перевірки OCSP призначені для швидкого і мовчки терпіти невдачу, коли Mac або відсутній або не може зв'язатися з сервером ocsp.apple.com.
Це робить їх простими в блоці: Просто запобігти ваш Mac від підключення до ocsp.apple.com. Наприклад, ви можете часто блокувати цю адресу на маршрутизаторі, запобігаючи всі пристрої в мережі з підключенням до нього.
На жаль, схоже, Big Sur більше не дозволяє Брандмауери програмного забезпечення рівня на блоці Mac Мак вбудований в процесі trustd від доступу до віддалених серверів, як це.
Увага: Якщо заблокувати сервер ocsp.apple.com, ваш Mac НЕ буде повідомлення, коли компанія Apple відкликала сертифікат розробника програми. Ви вибираєте, щоб відключити функцію безпеки, і це може поставити під загрозу Mac.
Що чи компанії Apple Say і обіцянку змінити?
Apple, мабуть, почув критику. 16 листопада 2020 року, компанія додала інформацію про «Захист приватного життя» для Gatekeeper на своєму веб-сайті.
По-перше, Apple говорить, що ніколи не об'єднані дані з цих сертифіката або шкідливих програм перевірки з іншими даними компанії Apple знає про вас. Компанія обіцяє, що не використовує цю інформацію, щоб відстежувати, які програми індивідууми починають на своїх комп'ютерах Mac.
По-друге, Apple наполягає на тому, що ці перевірки сертифіката не пов'язані з Apple ID, або будь-якої інформації для конкретного пристрою за межами вашого IP-адреси. Apple, каже, що вона припинила реєстрацію IP-адресу, пов'язану з цими запитами і буде витягувати їх з колод Apple.
Протягом наступного року, іншими словами, до кінця 2021 року - Apple, каже, що він буде робити ці зміни:
- Замінити OCSP З протоколом зашифрованою : Apple говорить, що це створить новий зашифрований протокол, щоб замінити незашифровану систему OCSP для перевірки сертифікатів розробників. Це дозволить нікому в середині від перехоплення.
- зупинити уповільнення : Apple також обіцяє «надійний захист від збоїв сервера», іншими словами, додатки не буде повільно завантажуватися, тому що сервер знову сповільнився.
- Забезпечити вибір для користувачів : Apple говорить, що користувачі Mac зможуть перетворити ці засоби захисту безпеки і виключають їх Mac від перевірки відкликаних сертифікатів розробників.
В цілому, ці зміни не будуть усувати різні проблеми третьої сторони можуть більше не підглядати в середині. Маков буде продовжувати передавати інформацію Apple, він може використовувати, щоб відстежувати, які програми ви відкриваєте, але компанія Apple обіцяє не пов'язати цю інформацію з вами. Уповільнення повинні бути усунені, як Apple, усуває проблему продуктивності, теж.
Що це буде краще протокол бути? Ну, Apple ще не сказав, що він замінить OCSP с. Як дослідник безпеки Скотт Helme зазначає, щось на зразок CRLite може допомогти примудритися тут. Уявіть, якщо ваш Mac може завантажити один файл з Apple, і регулярно оновлювати його. Файл буде містити стислий список всіх аннулирований сертифікатів. Всякий раз, коли ви запускаєте додаток, ваш Mac може перевірити файл, виключаючи мережеві перевірки і проблеми конфіденційності.
Ваш Mac чи Іноді Надіслати App хеш для компанії Apple
До речі, ваш Mac іноді не відправляти хеш-кодування додатків, що відкриваються на серверах Apple. Це відрізняється від перевірок OCSP підпису. Замість цього, він повинен робити з Gatekeeper нотаріальне засвідчення .
Розробники можуть завантажувати додатки для Apple, які перевіряє їх на наявність шкідливих програм, а потім «запевняє» їх, якщо вони здаються безпечними. Ця інформація нотаріального засвідчення квитка може бути «зшита» в додаток. Якщо розробник не штапельні інформацію про квитки в файл додаток, ваш Mac буде перевіряти з серверами Apple, в перший раз ви запускаєте це додаток.
Це відбувається тільки в перший раз при запуску даної версії програми-не кожен раз, коли він відкриває. І онлайн перевірка може бути усунена розробником через зшивання.
Macs не є унікальним тут. Наприклад, Windows 10 ПК часто завантажувати дані про додатки, які Ви завантажуєте в Служба SmartScreen компанії Microsoft для перевірки на наявність шкідливих програм. Антивірусні програми та інші програми безпеки можуть завантажувати інформацію про підозрілих перспективних додатках для безпеки компанії теж.
