Il tuo Mac telefona davvero a casa di Apple ogni volta che avvii un’app? Questa è l’accusa che circola dopo il 12 ottobre 2020, quando un server Apple è diventato lento ei Mac moderni hanno impiegato molto tempo per aprire le app. Spiegheremo cosa sta succedendo.
Info: questo vale sia per macOS Big Sur che per macOS Catalina. Il rallentamento e i problemi di privacy associati non sono nuovi in macOS Big Sur.
Sommario:
Perché le app per Mac sono firmate con certificati per sviluppatori
Su un Mac, le app scaricate, dal Mac App Store o dal Web, sono firmate con un certificato per sviluppatore. Ogni volta che avvii un’app, essa controlla l’app per verificare che sia stata firmata da uno sviluppatore legittimo e che non sia stata manomessa. Questo ti aiuta a proteggerti dal malware.
Ad esempio, quando Mozilla crea Firefox, compila un file dell’applicazione Firefox e quindi lo firma con il certificato di sviluppatore di Mozilla. Questo è il modo in cui Mozilla dimostra che il file è legittimo e creato da Mozilla. Se il file dell’applicazione viene manomesso in seguito, il tuo Mac noterà la differenza.
Questi certificati sono validi solo per un certo intervallo di tempo, forse alcuni anni, ma possono essere “revocati” in anticipo. Ad esempio, se Apple scopre che uno sviluppatore sta utilizzando il proprio certificato per firmare app dannose, Apple revoca il certificato. I Mac non caricheranno le app con quel certificato revocato.
OCSP spiegato: perché il tuo telefono Mac è a casa?
Ma aspetta: come fa il tuo Mac a sapere se Apple ha revocato un certificato associato a un’app sul tuo Mac? Per controllare, il tuo Mac utilizza qualcosa chiamato Online Certificate Status Protocol, o OCSP; viene anche utilizzato dai browser Web per controllare i certificati del sito Web durante la navigazione.
Quando avvii un’app, il tuo Mac invia le informazioni sul suo certificato a un server Apple su ocsp.apple.com. Il tuo Mac chiede a questo server Apple se il certificato è stato revocato. In caso contrario, il Mac avvia l’app. Se il certificato è stato revocato, il tuo Mac non avvierà l’app.
Succede ogni volta che avvii un’app?
Il tuo Mac ricorda queste risposte per un periodo di tempo. Il 12 novembre 2020, le risposte sono state memorizzate nella cache per cinque minuti; in altre parole, se avvii un’app, la chiudessi e la avvii di nuovo quattro minuti dopo, il tuo Mac non dovrebbe chiedere ad Apple il certificato una seconda volta. Tuttavia, se avvii un’app, la chiudessi e la avvii sei minuti dopo, il tuo Mac dovrebbe chiedere di nuovo ai server Apple.
Per qualsiasi motivo, forse a causa di modifiche in macOS Big Sur, il server di Apple è stato sommerso ed è diventato molto lento il 12 novembre 2020. Le risposte hanno rallentato notevolmente e le app hanno impiegato molto tempo per caricarsi mentre i Mac aspettavano pazientemente una risposta dal lento server.
Dopo quell’evento, il server OSCP di Apple ora dice ai Mac di ricordare le risposte di validità del certificato per 12 ore. Il tuo Mac telefonerà a casa e chiederà un certificato ogni volta che avvii un’app, a meno che tu non abbia ricevuto una risposta nelle ultime 12 ore, nel qual caso non sarà necessario. (Le informazioni sui periodi di tempo qui provengono da uno sviluppatore di app indipendente Jeff Johnson.)
Cosa succede se un Mac è offline?
Il controllo OCSP è progettato per fallire con grazia. Se sei offline, il tuo Mac salterà silenziosamente il controllo e avvierà le app normalmente.
Lo stesso vale se il tuo Mac non riesce a raggiungere il server ocsp.apple.com, forse perché l’indirizzo del server è stato bloccato sulla tua rete a livello di router. Se il tuo Mac non riesce a contattare il server, salta il controllo e avvia immediatamente l’app.
Il problema il 12 novembre 2020 era che mentre i Mac potevano raggiungere il server Apple, il server stesso era lento. Ma invece di fallire silenziosamente e andare avanti con il lancio di un’app, i Mac hanno aspettato a lungo una risposta. Se il server fosse stato completamente inattivo, nessuno se ne sarebbe accorto.
Qual è il rischio per la privacy? Cosa impara Apple?
Ci sono diversi problemi di privacy che le persone hanno sollevato qui. Sono spiegati in hacker e ricercatore di sicurezza L’incredibile interpretazione di Jeffrey Paul della situazione.
I certificati sono associati alle app: quando il Mac contatta il server OCSP, chiede un certificato probabilmente associato a un’app o, forse, a una manciata di app. Tecnicamente, il tuo Mac non dice ad Apple quale app hai avviato. Ad esempio, se avvii Firefox, Apple viene a sapere che hai avviato un’app creata da Mozilla. Potrebbe essere Firefox o Thunderbird, ma Apple non sa quale. Tuttavia, se avvii un’app firmata da Tor Project, Apple può avere un’idea abbastanza chiara che hai aperto il Tor Browser.
Le richieste sono associate a indirizzi IP e orari: queste richieste possono, ovviamente, essere associate a una data e ora e al tuo indirizzo IP. È così che funziona Internet. Il tuo indirizzo IP è associato a una determinata città e stato. Ogni richiesta OCSP comunica ad Apple lo sviluppatore che ha creato l’app che stai avviando, la tua posizione generale e la data e l’ora in cui hai lanciato l’app.
La mancanza di crittografia significa che è possibile lo snooping: il protocollo OCSP non è crittografato. Non solo Apple riceve queste informazioni, ma anche chiunque nel mezzo può vedere queste informazioni. Il tuo provider di servizi Internet, l’amministratore di rete sul posto di lavoro o persino un’agenzia di spionaggio che monitora il traffico Internet potrebbe intercettare il traffico OSCP tra te e Apple e apprendere tutti questi dettagli. Queste richieste passano anche da terze parti rete di distribuzione dei contenuti (CDN) denominato Akamai. Questo li velocizza, ma aggiunge un altro intermediario che potrebbe tecnicamente curiosare.
Info: il tuo Mac non dice ad Apple quale app stai avviando. Invece, il tuo Mac sta solo dicendo ad Apple quale sviluppatore ha creato l’app che stai avviando. Ovviamente, molti sviluppatori creano solo un’app. Questa distinzione tecnica spesso non significa molto.
(Ricorda: con la modifica al comportamento di memorizzazione nella cache, il tuo Mac non chiede più ad Apple ogni volta che avvii un’app. Lo fa solo ogni 12 ore invece che ogni 5 minuti).
Perché il tuo Mac lo fa?
Come ci si potrebbe aspettare, si tratta di sicurezza. Il Mac è una piattaforma più aperta rispetto all’iPad e all’iPhone. Puoi scaricare app da qualsiasi luogo, anche al di fuori del Mac App Store di Apple.
Per proteggere il Mac dal malware, e sì, il malware per Mac è diventato più comune, Apple ha implementato questo controllo di sicurezza. Se un certificato utilizzato per firmare un’app viene revocato, il tuo Mac può immediatamente entrare in azione e rifiutarsi di aprire l’app. Ciò dà ad Apple il potere di impedire ai Mac di avviare app dannose note.
Potete bloccare i controlli OCSP?
Questi controlli OCSP sono progettati per fallire rapidamente e silenziosamente quando un Mac è offline o non può contattare il server ocsp.apple.com.
Ciò li rende semplici da bloccare: basta impedire al tuo Mac di connettersi a ocsp.apple.com. Ad esempio, puoi spesso bloccare questo indirizzo sul tuo router, impedendo a tutti i dispositivi sulla tua rete di connettersi ad esso.
Sfortunatamente, sembra Big Sur non lascia più i firewall a livello di software sul Mac impediscono al processo trustd integrato del Mac di accedere a server remoti come questo.
Avviso: se blocchi il server ocsp.apple.com, il tuo Mac non noterà quando Apple ha revocato il certificato per sviluppatori di un’app. Stai scegliendo di disabilitare una funzione di sicurezza e questo potrebbe mettere a rischio il tuo Mac.
Cosa dice e promette di cambiare Apple?
Apple sembra aver sentito le critiche. Il 16 novembre 2020, la società ha aggiunto informazioni su “Protezione della privacy” per Gatekeeper sul suo sito web.
Innanzitutto, Apple afferma di non aver mai combinato i dati di questi controlli di certificati o malware con altri dati che Apple conosce su di te. La società promette di non utilizzare queste informazioni per tenere traccia delle app che le persone stanno lanciando sui propri Mac.
In secondo luogo, Apple insiste sul fatto che questi controlli dei certificati non sono associati al tuo ID Apple oa qualsiasi informazione specifica del dispositivo oltre al tuo indirizzo IP. Apple afferma di aver interrotto la registrazione degli indirizzi IP associati a queste richieste e li rimuoverà dai registri di Apple.
Nel prossimo anno, in altre parole entro la fine del 2021, Apple afferma che apporterà queste modifiche:
Sostituisci OCSP con un protocollo crittografato: Apple afferma che creerà un nuovo protocollo crittografato per sostituire il sistema OCSP non crittografato per il controllo dei certificati degli sviluppatori. Ciò impedirà a chiunque nel mezzo di ficcare il naso.
Stop ai rallentamenti: Apple promette anche “forti protezioni contro i guasti del server”, in altre parole, le app non saranno lente da caricare perché un server ha rallentato di nuovo.
Fornire scelta agli utenti: Apple afferma che gli utenti Mac saranno in grado di disattivare queste protezioni di sicurezza e impedire al loro Mac di verificare la presenza di certificati per sviluppatori revocati.
Nel complesso, queste modifiche eliminano vari problemi: le terze parti non possono più ficcare il naso nel mezzo. I Mac invieranno comunque le informazioni Apple che può utilizzare per tenere traccia delle app che apri, ma Apple promette di non associare tali informazioni a te. I rallentamenti dovrebbero essere eliminati poiché Apple risolve anche il problema delle prestazioni.
Quale sarà questo protocollo migliore? Ebbene, Apple non ha ancora detto con cosa sostituirà OCSP. Come ricercatore di sicurezza Scott Helme note, qualcosa di simile CRLite potrebbe aiutare a infilare l’ago qui. Immagina se il tuo Mac potesse scaricare un singolo file da Apple e aggiornarlo regolarmente. Il file conterrebbe un elenco compresso di tutte le revoche di certificati. Ogni volta che avvii un’app, il tuo Mac potrebbe controllare il file, eliminando i controlli di rete ei problemi di privacy.
Il tuo Mac a volte invia hash delle app ad Apple
A proposito, il tuo Mac a volte invia hash delle app che apri ai server Apple. Questo è diverso dai controlli della firma OCSP. Invece, ha a che fare con Gatekeeper autenticazione notarile.
Gli sviluppatori possono caricare app su Apple, che le controlla per rilevare eventuali malware e poi le “autentica” se sembrano sicure. Queste informazioni sul biglietto notarile possono essere “pinzate” sull’app. Se uno sviluppatore non blocca le informazioni sul biglietto nel file dell’app, il tuo Mac verificherà i server Apple la prima volta che avvii l’app.
Ciò accade solo la prima volta che avvii una determinata versione di un’app, non ogni volta che si apre. E il controllo in linea può essere eliminato dallo sviluppatore tramite pinzatura.
I Mac non sono unici qui. Ad esempio, i PC Windows 10 spesso caricano i dati delle app scaricate nel servizio SmartScreen di Microsoft per verificare la presenza di malware. Anche i programmi antivirus e altre applicazioni di sicurezza possono caricare informazioni su app dall’aspetto sospetto nella società di sicurezza.