Apple обвиняют в новой слежке за пользователями с обновлением Big Sur. Главное

На прошлой неделе у ряда пользователей Mac возникли проблемы с открытием приложений. Причина, похоже, в протоколах безопасности Apple. Именно он отвечает за проверку надёжности исходников программного обеспечения. Замедление работы Mac стало причиной новой критики Apple — на этот раз за сбор слишком большого количества информации о деятельности пользователей. На эту критику компания сейчас ответила обещанием внести изменения, но сохранить эти протоколы безопасности в будущем. Так сколько же информации получает Apple от пользователей? И почему некоторые эксперты уверены, что обновление MacOS Big Sur радикально изменило ситуацию с конфиденциальностью?

Где оно началось?

Эта история началась ещё 12 ноября, когда огромное количество пользователей Mac сообщали о сбоях при открытии сторонних приложений. Проблема распространилась и на собственные платформы Apple, такие как iMessage и Apple Pay, которые начали хаотично работать в течение короткого периода времени. Это было вызвано Gatekeeper, системой безопасности, которую Apple представила ещё в Mountain Lion, чтобы узнать, должна ли она работать. На самом деле, если ваш Mac подключен к Интернету, Gatekeeper будет проверять, чтобы убедиться, что это безопасно для запуска любого программного обеспечения. Скажем, вы нажимаете кнопку "Выполнить" в Photoshop и ваш компьютер проверяет подключение к серверу Apple, чтобы убедиться, что Adobe все еще имеет действующий сертификат разработчика. Этот процесс, как правило, быстрый и невидимый для пользователей, за исключением того, что количество людей, обновляющих до MacOS Big Sur перегрузило систему и замедлило ее.

Исследователи, заинтересованные в причинах замедления, начали анализировать данные, которые их компьютеры посылают на серверы Apple. Они утверждали, что операционная система посылает в штаб-квартиру Apple подробности того, что вы используете, простым текстом, что, конечно, было довольно страшно. Такие утверждения опроверг исследователь Якопо Янноне (Jacopo Yannone), который объяснил, что протокол OCSP, или протокол статуса онлайн-сертификата, так не работает.

"Ваш компьютер больше не ваш"

В записи в блоге под названием "Ваш компьютер больше не ваш" исследователь безопасности Джеффри Пол заявил, что Apple собирает хэш (уникальный идентификатор) каждой программы, запущенной пользователем Mac, вместе с их IP-адресом по незашифрованному соединению. Конечный результат, написал Пол, заключается в том, что любой, кто использует текущую версию macOS, не может этого сделать без "передачи и сохранения журнала [их] деятельности".

"В современных версиях macOS нельзя просто включить компьютер, запустить текстовый редактор или программу для чтения электронных книг и записи или чтения без передачи и сохранения журнала своих действий", — сказал Джеффри Пол.

Поскольку MacOS выполняет операции по сети, сервер, безусловно, видит ваш IP-адрес и знает, в какое время поступил запрос. IP-адрес позволяет грубо геолокацироваться на уровне города и провайдера, уверяет эксперт по безопасности

"Это значит, что Apple знает, когда вы дома". Когда вы находитесь на работе. Какие приложения вы открываете и как часто. Они знают, когда вы открываете премьеру в доме друга по Wi-Fi, и они знают, когда вы открываете Tor Browser в отеле во время поездки в другой город. И дело не только в Apple. Эта информация идет дальше, подчеркивает эксперт:

• OCSP запросы передаются в * незашифрованном виде;*
• С октября 2012 года компания Apple является партнером военной разведки США в программе шпионажа PRISM, которая предоставляет федеральной полиции и вооруженным силам США беспрепятственный доступ к этим данным без ордера, когда они просят об этом. В первой половине 2019 года это произошло более 18000 раз, а во второй половине 2019 года — еще 17500 раз;
• Эти данные представляют собой огромное количество данных о вашей жизни и привычках и позволяют тому, кто владеет ими, определить ваши движения и модели деятельности. Для некоторых людей это может даже представлять физическую опасность.

Как отмечает Джеффри Пол, до прошлой недели сбор данных по Mac можно было заблокировать с помощью программы под названием Little Snitch. Выпущенная версия macOS 11.0, также известная как Big Sur, имеет новые API, которые не позволяют Little Snitch работать таким же образом. Новые API не позволяют программе Little Snitch проверять или блокировать процессы на уровне операционной системы. Кроме того, новые правила в macOS 11 усложняют работу VPN, поэтому приложения Apple просто обходят их стороной.

Разве это не так плохо?Однако не все согласились с анализом Джеффри Пола. В посте в блоге Якопо Янноне (Jacopo Yannone), студента факультета кибербезопасности, отмечается, что данные, отправленные на сервер Apple OCSP, содержат информацию, относящуюся к разработчику приложения, но не к самому приложению. Он добавляет, что служба Apple Gatekeeper может отправлять хэш исполняемого файла, но отдельно от OCSP и по зашифрованному соединению. На собственной странице поддержки Apple отмечается, что Gatekeeper использует "зашифрованное соединение, устойчивое к сбоям сервера".

Как отреагировала компания Apple?

Компания Apple была вынуждена разъяснить, как работает антивирусная платформа Gatekeeper после того, как исследователи в области безопасности заподозрили, что система нарушает конфиденциальность. Компания, как заметила 9to5Mac,

представитель Apple сообщил iPhone в канадском блоге, что компания обновила сопроводительную документацию, чтобы объяснить, что система не отслеживает действия своих пользователей. В то же время Apple сообщила, что в будущем изменит работу Gatekeeper, чтобы еще больше минимизировать будущие риски.

"Gatekeeper выполняет онлайн-проверку на наличие в приложении известных вредоносных программ, а также на то, был ли отозван сертификат подписи разработчика", — объясняет Apple. Мы никогда не совмещали эти проверки с информацией о пользователях Apple или их устройствах". Мы не используем данные проверки, чтобы выяснить, что отдельные пользователи запускают или запускают на своих устройствах", — объясняет компания.

Кроме того, Apple утверждает, что "в течение следующего года мы внесем несколько изменений в наши проверки безопасности", а именно:

• новый зашифрованный протокол для проверки отзыва сертификата идентификатора разработчика;
• сильная защита от сбоя сервера;
• новое предпочтение пользователей отказаться от этих функций безопасности.

Apple также предоставила iPhone в канадском блоге дополнительную техническую информацию о ситуации*.* Проверка отзыва сертификата осуществляется для того, чтобы убедиться, что сертификаты ID разработчика, используемые для подписи приложения, не были отозваны компанией. Этот шаг имеет решающее значение для безопасности, поскольку сертификат может быть отозван, если разработчик подозревает, что он был скомпрометирован третьими лицами или использовался для подписи вредоносных приложений.

MacOS использует стандартный отраслевой протокол Certificate Status Protocol (OCSP) для проверки того, что сертификат кодовой подписи разработчика, выданный разработчику приложения, не был отозван. Этот запрос OCSP не включает идентификатор пользователя Apple и не раскрывает используемое устройство или приложение.

Apple отметила, что поскольку OCSP используется для проверки других сертификатов, включая те, которые используются для зашифрованных веб подключений, эти запросы выполняются по незашифрованному HTTP, как это принято в отрасли.

HTTP используется для предотвращения ситуаций, в которых проверка сертификата, защищающего соединение с сервером OCSP, может потенциально зависеть от результата запроса к тому же серверу OCSP, создавая цикл, который, по мнению Apple, сделает невозможным разрешение запроса.

Apple утверждает, что в MacOS Catalina и более поздних версиях по умолчанию все запущенные приложения нотариально заверяются, чтобы отметить, что они были просканированы Apple на наличие известных вредоносных программ. Когда приложение запускается, macOS проверяет, было ли оно помечено как вредоносное компанией Apple с момента его первой нотариальной заверки. Эти проверки проходят через зашифрованное соединение и устойчивы к сбоям сервера. Вот что произошло на днях, и пользователи увидели, что их приложения зависают и работают бесконечно.

Что вызвало проблему с сервером OCSP?

Apple утверждает, что это произошло из-за неправильной конфигурации на стороне сервера, которая специально не позволяла macOS кэшировать ответы OCSP для идентификатора разработчика. Эта ошибка конфигурации, наряду с неправильной конфигурацией несвязанной сети доставки контента (CDN), является причиной низкой производительности приложения при запуске.

Apple объяснила iPhone в Канаде, что она уже исправила эту проблему производительности с обновлением на стороне сервера, которое теперь позволит macOS кэшировать проверки идентификатора разработчика OCSP в течение более длительного периода времени. Пользователям MacOS не нужно ничего делать, чтобы воспользоваться этим обновлением от Apple.

Проверки нотариуса применяютсяС их помощью подтверждается, что приложения, запущенные в MacOS, не были признаны вредоносными компанией Apple, так как они wповторно нотариально заверен. Apple утверждает, что эти проверки проводятся через зашифрованное соединение и не подвержены сбоям сервера. На проверки нотариального заверения не влияла проблема на стороне сервера, из-за которой не выполнялись запросы OCSP.

Читайте также

Ледник Судного дня был более опасен, чем считали ученые. Расскажите, главное

Гиперплуп достиг скорости 1019 км/ч
Алгоритм сгенерировал 3 тысячи новых Покемонов