Вашият Mac наистина ли телефонира като дом на Apple всеки път, когато стартирате приложение? Това е твърдението, което се разпространи след 12 октомври 2020 г., когато сървърът на Apple стана бавен и на съвременните Mac-ове отне много време, за да отворят приложения. Ще обясним какво става.
Информация: Това се отнася както за macOS Big Sur, така и за macOS Catalina. Забавянето и свързаните с него опасения за поверителността не са нещо ново в macOS Big Sur.
Съдържание
Защо Mac приложенията са подписани със сертификати за разработчици
На Mac приложенията, които изтегляте – независимо дали от Mac App Store или от мрежата – са подписани със сертификат за разработчик. Всеки път, когато стартирате приложение, то проверява приложението, за да потвърди, че е подписано от легитимен разработчик и че не е подправено. Това ви помага да се предпазите от злонамерен софтуер.
Например, когато Mozilla създава Firefox, тя компилира файл на приложението Firefox и след това го подписва със сертификата за разработчик на Mozilla. Това е начинът на Mozilla да докаже, че файлът е легитимен и създаден от Mozilla. Ако файлът на приложението бъде подправен след това, вашият Mac ще забележи разликата.
Тези сертификати са валидни само за определен интервал от време — може би няколко години — но могат да бъдат „отменени“ по-рано. Например, ако Apple открие, че разработчик използва своя сертификат за подписване на злонамерени приложения, Apple анулира сертификата. Macs няма да зареждат приложения с този анулиран сертификат.
OCSP обяснено: Защо вашият Mac телефон е домашен?
Но изчакайте – как вашият Mac знае дали Apple е отменил сертификат, свързан с приложение на вашия Mac? За да проверите, вашият Mac използва нещо, наречено Online Certificate Status Protocol, или OCSP; той също се използва от уеб браузърите за проверка на сертификати на уебсайтове, докато сърфирате.
Когато стартирате приложение, вашият Mac изпраща информация за своя сертификат до сървър на Apple на адрес ocsp.apple.com. Вашият Mac пита този сървър на Apple дали сертификатът е отменен. Ако не е, вашият Mac стартира приложението. Ако сертификатът е отменен, вашият Mac няма да стартира приложението.
Това се случва всеки път, когато стартирате приложение?
Вашият Mac запомня тези отговори за определен период от време. На 12 ноември 2020 г. отговорите бяха кеширани за пет минути; с други думи, ако стартирате приложение, затворите го и го стартирате отново четири минути по-късно, вашият Mac няма да трябва да пита Apple за сертификата втори път. Въпреки това, ако стартирате приложение, затворите го и го стартирате шест минути по-късно, вашият Mac ще трябва отново да попита сървърите на Apple.
По някаква причина — може би поради промени в macOS Big Sur — сървърът на Apple беше затрупан и стана много бавен на 12 ноември 2020 г. Отговорите се забавиха значително и приложенията се зареждаха дълго, тъй като Macs търпеливо чакаха отговор от бавното сървър.
След това събитие OSCP сървърът на Apple сега казва на Mac да запомнят отговорите за валидност на сертификата за 12 часа. Вашият Mac ще се обади вкъщи и ще пита за сертификат всеки път, когато стартирате приложение – освен ако не сте получили отговор през последните 12 часа, в който случай няма да е необходимо. (Информацията за периодите от време тук идва от независим разработчик на приложения Джеф Джонсън.)
Ами ако Mac е офлайн?
OCSP проверката е проектирана да се провали с благодат. Ако сте офлайн, вашият Mac безшумно ще пропусне проверката и ще стартира приложенията нормално.
Същото е вярно, ако вашият Mac не може да достигне до сървъра ocsp.apple.com — може би защото адресът на сървъра е бил блокиран във вашата мрежа на ниво рутер. Ако вашият Mac не може да се свърже със сървъра, той пропуска проверката и незабавно стартира приложението.
Проблемът на 12 ноември 2020 г. беше, че докато Macs можеха да достигнат до сървъра на Apple, самият сървър беше бавен. Но вместо да се провалят безшумно и да започнат да стартират приложение, Macs чакаха дълго време за отговор. Ако сървърът беше напълно изключен, никой нямаше да забележи.
Какъв е рискът за поверителност? Какво научава Apple?
Има няколко опасения относно поверителността, които хората повдигнаха тук. Те са описани в хакери и изследователи по сигурността Яростното отношение на Джефри Пол върху ситуацията.
Сертификатите са свързани с приложения: Когато вашият Mac се свърже с OCSP сървъра, той пита за сертификат, който вероятно е свързан с едно приложение или, може би, шепа приложения. Технически, вашият Mac не казва на Apple кое приложение сте стартирали. Например, ако стартирате Firefox, Apple просто научава, че сте стартирали приложение, създадено от Mozilla. Може да е Firefox или Thunderbird, но Apple не знае кое. Въпреки това, ако стартирате приложение, подписано от Tor Project, Apple може да получи доста добра идея, че сте отворили браузъра Tor.
Заявките са свързани с IP адреси и часове: Тези заявки, разбира се, могат да бъдат свързани с дата и час и вашия IP адрес. Просто така работи интернет. Вашият IP адрес е свързан с определен град и щат. Всяка OCSP заявка казва на Apple разработчика, който е създал приложението, което стартирате, вашето общо местоположение и датата и часа, на които сте стартирали приложението.
Липсата на криптиране означава, че подслушването е възможно: OCSP протоколът е некриптиран. Apple не само получава тази информация – всеки в средата може също да види тази информация. Вашият доставчик на интернет услуги, мрежов администратор на работното място или дори шпионска агенция, която следи интернет трафика, може да подслушва OSCP трафика между вас и Apple и да научи всички тези подробности. Тези заявки също преминават през трета страна мрежа за разпространение на съдържание (CDN) на име Акамай. Това ги ускорява, но добавя друг посредник, който технически може да подслушва.
Информация: Вашият Mac не казва на Apple кое приложение стартирате. Вместо това вашият Mac просто казва на Apple кой разработчик е създал приложението, което стартирате. Разбира се, много разработчици просто създават едно приложение. Това техническо разграничение често не означава много.
(Запомнете: С промяната на поведението на кеширане, вашият Mac вече не пита Apple всеки път, когато стартирате приложение. Прави това само на всеки 12 часа вместо на всеки 5 минути.)
Защо вашият Mac прави това?
Както може да очаквате, всичко е свързано със сигурността. Mac е по-отворена платформа от iPad и iPhone. Можете да изтегляте приложения отвсякъде, дори извън Mac App Store на Apple.
За да защити Mac от злонамерен софтуер — и да, зловредният софтуер на Mac стана по-често срещан — Apple приложи тази проверка за сигурност. Ако сертификат, използван за подписване на приложение, бъде отменен, вашият Mac може незабавно да влезе в действие и да откаже да отвори това приложение. Това дава на Apple силата да спре Macs да стартира известни злонамерени приложения.
Можете ли да блокирате OCSP проверките?
Тези OCSP проверки са предназначени да се провалят бързо и тихо, когато Mac е офлайн или не може да се свърже със сървъра ocsp.apple.com.
Това ги прави лесни за блокиране: Просто попрете на вашия Mac да се свърже с ocsp.apple.com. Например, често можете да блокирате този адрес на вашия рутер, предотвратявайки свързването на всички устройства във вашата мрежа към него.
За съжаление изглежда като Big Sur вече не позволява защитните стени на ниво софтуер на Mac блокират вградения доверен процес на Mac от достъп до отдалечени сървъри като този.
Предупреждение: Ако блокирате сървъра ocsp.apple.com, вашият Mac няма да забележи, когато Apple е отнела сертификата за разработчик на приложение. Избирате да деактивирате функция за сигурност и това може да изложи вашия Mac на риск.
Какво казва Apple и обещава да се промени?
Apple изглежда е чула критиките. На 16 ноември 2020 г. компанията добави информация за „защита на поверителността“ за Gatekeeper на неговия уебсайт.
Първо, Apple казва, че никога не е комбинирала данни от тези проверки на сертификати или злонамерен софтуер с други данни, които Apple знае за вас. Компанията обещава, че не използва тази информация, за да проследява кои приложения стартират хората на своите Mac.
Второ, Apple настоява, че тези проверки на сертификати не са свързани с вашия Apple ID или каквато и да е специфична за устройството информация извън вашия IP адрес. Apple казва, че е спряла да регистрира IP адреси, свързани с тези заявки, и ще ги премахва от регистрационните файлове на Apple.
През следващата година – с други думи, до края на 2021 г. – Apple казва, че ще направи следните промени:
Заменете OCSP с криптиран протокол: Apple казва, че ще създаде нов криптиран протокол, който да замени некриптираната OCSP система за проверка на сертификати за разработчици. Това ще попречи на всеки в средата да шушне.
Спрете забавянето: Apple също обещава „силна защита срещу отказ на сървъра“ – с други думи, приложенията няма да се зареждат бавно, защото сървърът отново се забави.
Предоставете избор на потребителите: Apple казва, че потребителите на Mac ще могат да изключат тези защити за сигурност и да попречат на своя Mac да проверява за отменени сертификати за разработчици.
Като цяло, тези промени ще премахнат различни проблеми – трети страни вече не могат да подслушват по средата. Macs все още ще изпраща информация на Apple, която може да използва, за да проследява кои приложения отваряте, но Apple обещава да не свързва тази информация с вас. Забавянията трябва да бъдат елиминирани, тъй като Apple също отстранява проблема с производителността.
Какъв ще бъде този по-добър протокол? Е, Apple все още не е казал с какво ще замени OCSP. Като изследовател по сигурността Скот Хелм бележки, нещо подобно CRLite може да помогне да вденете иглата тук. Представете си, ако вашият Mac може да изтегли един файл от Apple и редовно да го актуализира. Файлът ще съдържа компресиран списък с всички анулирани сертификати. Всеки път, когато стартирате приложение, вашият Mac може да провери файла, елиминирайки мрежовите проверки и проблемите с поверителността.
Вашият Mac понякога изпраща хешове на приложения на Apple
Между другото, вашият Mac понякога изпраща хешове на приложенията, които отваряте, към сървърите на Apple. Това е различно от OCSP проверките за подпис. Вместо това, това е свързано с Gatekeeper нотариална заверка.
Разработчиците могат да качват приложения в Apple, която ги проверява за злонамерен софтуер и след това ги „нотариално заверява“, ако изглеждат безопасни. Тази информация за билет за нотариална заверка може да бъде „закрепена“ с приложението. Ако разработчик не прикрепи информацията за билета към файла на приложението, вашият Mac ще провери със сървърите на Apple при първото стартиране на това приложение.
Това се случва само при първото стартиране на дадена версия на приложение, а не всеки път, когато се отваря. А онлайн проверката може да бъде елиминирана от разработчика чрез телбод.
Mac-овете не са уникални тук. Например компютрите с Windows 10 често качват данни за приложения, които изтегляте в услугата SmartScreen на Microsoft, за да проверят за злонамерен софтуер. Антивирусните програми и други приложения за сигурност също могат да качват информация за подозрително изглеждащи приложения в охранителната компания.