Valóban hazatelefonál a Mac-ed az Apple-nek, valahányszor elindítasz egy alkalmazást? Ez az állítás 2020. október 12-e után terjedt el, amikor egy Apple-szerver lelassult, és a modern Mac-eken sokáig tartott az alkalmazások megnyitása. Elmagyarázzuk, mi a helyzet.
Információ: Ez a macOS Big Sur és a macOS Catalina rendszerre egyaránt vonatkozik. A lassulás és a kapcsolódó adatvédelmi aggályok nem újkeletűek a macOS Big Surban.
Tartalomjegyzék
Miért írják alá a Mac-alkalmazásokat fejlesztői tanúsítvánnyal?
Mac számítógépen a letöltött alkalmazások – akár a Mac App Store-ból, akár az internetről – fejlesztői tanúsítvánnyal vannak aláírva. Valahányszor elindít egy alkalmazást, az ellenőrzi, hogy jogos fejlesztő írta-e alá, és hogy nem manipulálták-e. Ez segít megvédeni Önt a rosszindulatú programoktól.
Például amikor a Mozilla létrehozza a Firefoxot, összeállít egy Firefox alkalmazásfájlt, majd aláírja azt a Mozilla fejlesztői tanúsítvánnyal. A Mozilla ezzel bizonyítja, hogy a fájl legitim, és a Mozilla hozta létre. Ha az alkalmazásfájlt később manipulálják, a Mac számítógépe észre fogja venni a különbséget.
Ezek a tanúsítványok csak bizonyos ideig – esetleg néhány évig – érvényesek, de idő előtt „visszavonhatók”. Ha például az Apple felfedezi, hogy egy fejlesztő a tanúsítványát rosszindulatú alkalmazások aláírására használja, az Apple visszavonja a tanúsítványt. A Mac gépek nem töltik be a visszavont tanúsítvánnyal rendelkező alkalmazásokat.
Az OCSP magyarázata: Miért jön otthon a Mac telefon?
De várjunk csak – honnan tudja a Mac gépe, hogy az Apple visszavonta-e a Mac számítógépén lévő alkalmazáshoz társított tanúsítványt? Az ellenőrzéshez a Mac az Online Certificate Status Protocol vagy OCSP nevű protokollt használja; a webböngészők a webhelytanúsítványok ellenőrzésére is használják böngészés közben.
Amikor elindít egy alkalmazást, a Mac számítógépe információkat küld a tanúsítványáról az ocsp.apple.com címen található Apple szervernek. A Mac megkérdezi ettől az Apple szervertől, hogy a tanúsítványt visszavonták-e. Ha nem, a Mac elindítja az alkalmazást. Ha a tanúsítványt visszavonták, a Mac nem indítja el az alkalmazást.
Ez minden alkalommal megtörténik, amikor elindít egy alkalmazást?
A Mac egy ideig megjegyzi ezeket a válaszokat. 2020. november 12-én a válaszok öt percig gyorsítótárban voltak; más szóval, ha elindít egy alkalmazást, bezárja, majd négy perccel később újra elindítja, akkor a Mac-nek nem kellene másodszor megkérdeznie az Apple-t a tanúsítványról. Ha azonban elindít egy alkalmazást, bezárja, majd hat perccel később elindítja, a Mac-nek újra meg kell kérdeznie az Apple szervereit.
Bármilyen okból – talán a macOS Big Sur változásai miatt – 2020. november 12-én az Apple szervere eláradt, és nagyon lelassult. A válaszok jelentősen lelassultak, és az alkalmazások betöltése sokáig tartott, mivel a Mac gépek türelmesen vártak az Apple lassú válaszára. szerver.
Ezt követően az Apple OSCP-szervere most utasítja a Mac-eket, hogy emlékezzenek a tanúsítvány érvényességi válaszaira 12 órán keresztül. A Mac számítógépe hazatelefonál és megkérdezi a tanúsítványt minden alkalommal, amikor elindít egy alkalmazást – hacsak nem kapott választ az elmúlt 12 órában, ebben az esetben nem lesz szüksége rá. (Az itt közölt időszakokra vonatkozó információk független alkalmazásfejlesztőktől származnak Jeff Johnson.)
Mi van, ha a Mac offline állapotban van?
Az OCSP-ellenőrzést úgy tervezték, hogy kegyelettel sikertelen legyen. Ha offline állapotban van, Mac-je csendben kihagyja az ellenőrzést, és a szokásos módon elindítja az alkalmazásokat.
Ugyanez vonatkozik arra az esetre is, ha a Mac nem tudja elérni az ocsp.apple.com szervert – talán azért, mert a szerver címe letiltásra került a hálózaton az útválasztó szintjén. Ha a Mac nem tud kapcsolatba lépni a szerverrel, akkor kihagyja az ellenőrzést, és azonnal elindítja az alkalmazást.
2020. november 12-én az volt a probléma, hogy bár a Macek el tudták érni az Apple szerverét, maga a szerver lassú volt. De ahelyett, hogy csendben kudarcot vallottak volna, és elkezdtek volna elindítani egy alkalmazást, a Macek sokáig vártak a válaszra. Ha a szerver teljesen leállt volna, senki sem vette volna észre.
Mi az adatvédelmi kockázat? Mit tanul az Apple?
Az emberek több adatvédelmi aggályt is felhoztak itt. A hacker és a biztonságkutatóban vannak megfogalmazva Jeffrey Paul hóbortos álláspontja a helyzetről.
A tanúsítványok alkalmazásokhoz vannak társítva: Amikor a Mac kapcsolatba lép az OCSP-kiszolgálóval, egy olyan tanúsítványt kérdez, amely valószínűleg egy alkalmazáshoz – vagy esetleg egy maroknyi alkalmazáshoz – van társítva. Technikailag a Mac nem közli az Apple-lel, hogy melyik alkalmazást indította el. Például, ha elindítja a Firefoxot, az Apple megtudja, hogy elindított egy, a Mozilla által készített alkalmazást. Lehet Firefox vagy Thunderbird, de az Apple nem tudja, melyik. Ha azonban elindít egy Tor Project által aláírt alkalmazást, az Apple elég jó ötletet kaphat, hogy megnyitotta a Tor böngészőt.
A kérések IP-címekhez és időpontokhoz kapcsolódnak: Ezek a kérések természetesen társíthatók dátumhoz és időponthoz, valamint az Ön IP-címéhez. Az internet csak így működik. Az Ön IP-címe egy bizonyos városhoz és államhoz van társítva. Minden OCSP-kérelem tájékoztatja az Apple-t az elindítandó alkalmazást létrehozó fejlesztőről, az Ön általános tartózkodási helyéről, valamint az alkalmazás elindításának dátumáról és időpontjáról.
A titkosítás hiánya azt jelenti, hogy a leskelődés lehetséges: Az OCSP protokoll titkosítatlan. Nemcsak az Apple kapja meg ezeket az információkat – a középen lévők is láthatják ezeket az információkat. Internetszolgáltatója, munkahelyi hálózati rendszergazdája vagy akár egy internetes forgalmat felügyelő kémügynökség lehallgathatja az Ön és az Apple közötti OSCP-forgalmat, és megtudhatja ezeket a részleteket. Ezek a kérések harmadik félen keresztül is mennek tartalomelosztó hálózat (CDN) Akamai néven. Ez felgyorsítja őket, de hozzáad egy másik közvetítőt, aki technikailag leskelődik.
Információ: A Mac nem közli az Apple-lel, hogy melyik alkalmazást indítja el. Ehelyett a Mac csak közli az Apple-lel, hogy melyik fejlesztő hozta létre az Ön által elindított alkalmazást. Természetesen sok fejlesztő csak egy alkalmazást hoz létre. Ez a technikai megkülönböztetés gyakran nem jelent sokat.
(Ne feledje: a gyorsítótárazási viselkedés megváltozásával a Mac többé nem kérdez rá az Apple-re minden alkalommal, amikor elindít egy alkalmazást. Ezt csak 12 óránként teszi meg, nem pedig 5 percenként.)
Miért csinálja ezt a Mac-ed?
Ahogy az várható is, ez a biztonságról szól. A Mac nyitottabb platform, mint az iPad és az iPhone. Bárhonnan letölthet alkalmazásokat, még az Apple Mac App Store-on kívül is.
Annak érdekében, hogy megvédje a Mac-et a rosszindulatú programoktól – és igen, a Mac-es kártevők egyre gyakoribbá váltak – az Apple végrehajtotta ezt a biztonsági ellenőrzést. Ha egy alkalmazás aláírására használt tanúsítványt visszavonnak, a Mac azonnal működésbe léphet, és megtagadhatja az alkalmazás megnyitását. Ez lehetőséget ad az Apple-nek arra, hogy megakadályozza a Mac számítógépeken az ismert rosszindulatú alkalmazások elindítását.
Letilthatja az OCSP ellenőrzéseket?
Ezeket az OCSP-ellenőrzéseket úgy tervezték, hogy gyorsan és csendesen meghiúsuljanak, amikor a Mac offline állapotban van, vagy nem tud kapcsolatba lépni az ocsp.apple.com szerverrel.
Így egyszerűen blokkolhatók: csak akadályozza meg, hogy a Mac csatlakozzon az ocsp.apple.com webhelyhez. Például gyakran blokkolhatja ezt a címet az útválasztón, így megakadályozhatja, hogy a hálózaton lévő összes eszköz csatlakozzon hozzá.
Sajnos úgy tűnik, Big Sur már nem engedi A Mac szoftverszintű tűzfalai megakadályozzák, hogy a Mac beépített megbízható folyamata hozzáférjen az ehhez hasonló távoli kiszolgálókhoz.
Figyelmeztetés: Ha letiltja az ocsp.apple.com szervert, a Mac számítógépe nem veszi észre, ha az Apple visszavonta egy alkalmazás fejlesztői tanúsítványát. Úgy dönt, hogy letilt egy biztonsági funkciót, és ez veszélybe sodorhatja Mac számítógépét.
Mit mond az Apple és mit ígér a változás?
Úgy tűnik, az Apple meghallotta a kritikát. 2020. november 16-án a cég a következőről adott tájékoztatást „adatvédelem” a Gatekeeper számára honlapján.
Először is, az Apple azt állítja, hogy soha nem kombinálta ezekből a tanúsítványokból vagy kártevő-ellenőrzésekből származó adatokat az Apple által Önről ismert egyéb adatokkal. A cég azt ígéri, hogy nem használja fel ezeket az információkat annak nyomon követésére, hogy az egyének mely alkalmazásokat indítják el a Mac számítógépükön.
Másodszor, az Apple ragaszkodik ahhoz, hogy ezek a tanúsítvány-ellenőrzések ne legyenek társítva az Ön Apple ID-jéhez vagy az IP-címén kívüli egyéb eszközspecifikus információkhoz. Az Apple azt állítja, hogy leállította az ezekkel a kérésekkel társított IP-címek naplózását, és eltávolítja azokat az Apple naplóiból.
A következő évben – más szóval 2021 végéig – az Apple azt mondja, hogy a következő változtatásokat hajtja végre:
Cserélje le az OCSP-t titkosított protokollra: Az Apple azt állítja, hogy új titkosított protokollt hoz létre a titkosítatlan OCSP-rendszer helyére a fejlesztői tanúsítványok ellenőrzésére. Ez megakadályozza, hogy bárki középen leselkedjen.
Állítsd meg a lassulást: Az Apple „erős védelmet is ígér a szerverhiba ellen” – más szóval, az alkalmazások nem fognak lassan betölteni, mert a szerver ismét lelassult.
Választási lehetőség biztosítása a felhasználóknak: Az Apple szerint a Mac-felhasználók kikapcsolhatják ezeket a biztonsági védelmet, és megakadályozhatják, hogy Mac számítógépük ellenőrizze a visszavont fejlesztői tanúsítványokat.
Összességében ezek a változtatások különféle problémákat küszöbölnek ki – a harmadik felek többé nem szaglásozhatnak a közepén. A Mac gépek továbbra is küldenek információkat az Apple-nek, amelyek segítségével nyomon követheti, hogy mely alkalmazásokat nyitja meg, de az Apple megígéri, hogy ezeket az információkat nem társítja Önhöz. A lassulásokat meg kell szüntetni, mivel az Apple javítja a teljesítményproblémát is.
Mi lesz ez a jobb protokoll? Nos, az Apple még nem mondta el, hogy mivel fogja leváltani az OCSP-t. Biztonsági kutatóként Scott Helme jegyzetek, valami ilyesmi CRLite segíthet ide befűzni a tűt. Képzelje el, ha a Mac képes egyetlen fájlt letölteni az Apple-től, és rendszeresen frissíteni. A fájl az összes tanúsítvány-visszavonás tömörített listáját tartalmazza. Amikor elindít egy alkalmazást, a Mac képes ellenőrizni a fájlt, kiküszöbölve a hálózati ellenőrzéseket és az adatvédelmi problémákat.
A Mac néha alkalmazáskivonatokat küld az Apple-nek
Mellesleg, a Mac gép néha kivonatokat küld az Apple szervereinek a megnyitott alkalmazásokról. Ez eltér az OCSP aláírás-ellenőrzésétől. Ehelyett a Gatekeeper-hez van köze közjegyzői okirat.
A fejlesztők feltölthetnek alkalmazásokat az Apple-re, amely ellenőrzi, hogy nem tartalmaznak-e rosszindulatú programokat, majd „közjegyzővel” ellátják őket, ha biztonságosnak tűnnek. Ez a közjegyzői jegy információ „tűzhető” az alkalmazáshoz. Ha egy fejlesztő nem tűzi össze a jegyinformációkat az alkalmazásfájlba, akkor a Mac az alkalmazás első indításakor egyeztet az Apple szervereivel.
Ez csak az alkalmazás adott verziójának első indításakor történik – nem minden alkalommal, amikor az alkalmazás megnyílik. Az online csekket pedig tűzéssel kiküszöbölheti a fejlesztő.
A Macek itt nem egyediek. Például a Windows 10 rendszerű számítógépek gyakran töltenek fel adatokat a letöltött alkalmazásokról a Microsoft SmartScreen szolgáltatásába a rosszindulatú programok ellenőrzése érdekében. A vírusirtó programok és más biztonsági alkalmazások is feltölthetnek információkat a gyanús kinézetű alkalmazásokról a biztonsági cégnek.