Kuinka kaikki alkoi?
Tämä tarina alkoi 12. marraskuuta, jolloin valtava määrä Mac-käyttäjiä ilmoitti
Pohjimmiltaan, jos Mac on yhteydessä Internetiin,Portinvartija tarkistaa, onko ohjelmistojen käyttäminen turvallista. Oletetaan, että napsautat Käynnistä-painiketta Photoshopissa ja tietokoneesi pingottaa Apple-palvelimen kanssa varmistaakseen, että Adobella on edelleen voimassa oleva kehittäjän varmenne. Tämä prosessi on yleensä nopea ja näkymätön käyttäjille, paitsi että macOS Big Sur -ohjelmaan päivittävien ihmisten määrä hukutti järjestelmän ja hidasti sitä.
Tutkijat, jotka ovat kiinnostuneita syystähidastumiset alkoivat analysoida tietoja, joita heidän tietokoneensa lähettivät Applen palvelimille. He väittivät, että käyttöjärjestelmä lähetti yksityiskohdat siitä, mitä käytit pelkkänä tekstinä Apple HQ: lle, mikä luonnollisesti aiheutti paljon pelkoa. Tutkija Jacopo Iannone hylkäsi tällaiset väitteet ja selitti, että OCSP-protokolla tai Online Certificate Status Protocol ei toimi näin.
"Tietokoneesi ei ole enää sinun"
Blogi, jonka otsikko on ”Tietokoneesiei sinun ", tietoturvatutkija Jeffrey Paula sanoi, että Apple kerää hash (yksilöllisen tunnisteen) jokaisesta Mac-käyttäjän käynnistämästä ohjelmasta yhdessä heidän IP-osoitteensa salaamattoman yhteyden kautta. Lopputulos, Paul kirjoitti, on se, että kuka tahansa, joka käyttää nykyaikaista macOS-versiota, ei voi tehdä tätä "siirtämättä ja tallentamatta toimintalokia".
"MacOS: n nykyaikaisissa versioissa et vain voi käynnistää tietokonetta, suorittaa tekstieditoriatai ohjelma, jolla voit lukea e-kirjoja ja kirjoittaa tai lukea välittämättä ja pitämättä kirjaa toiminnastasi ", Jeffrey Paul sanoi.
Koska Mac suorittaa operaatioita verkon kautta, palvelintietysti se näkee IP-osoitteesi ja tietää, mihin aikaan pyyntö tuli. IP-osoite mahdollistaa karkean maantieteellisen sijainnin kaupungin tasolla ja Internet-palveluntarjoajan tasolla, turvallisuusasiantuntija sanoo
”Tämä tarkoittaa, että Apple tietää, milloin olet kotona.Kun olet töissä. Mitkä sovellukset avaat ja kuinka usein. He tietävät, kun avaat Premiere-ystävän talossa heidän Wi-Fi-yhteyden kautta, ja he tietävät, kun avaat Tor-selaimen hotellissa matkalla toiseen kaupunkiin. "
Eikä kyse vain Applesta. Nämä tiedot menevät pidemmälle, asiantuntija korostaa:
- OCSP-pyynnöt lähetetään salaamattomina;
- Lokakuusta 2012 lähtien Apple on tehnyt yhteistyötä Yhdysvaltain sotilastiedustelun kanssa PRISM-vakoiluohjelmassa, joka tarjoaaYhdysvaltain liittovaltion poliisilla ja armeijalla on rajoittamaton pääsy näihin tietoihin ilman lupaa, kun he pyytävät niitä.Vuoden 2019 ensimmäisellä puoliskolla tämä tapahtui yli 18 000 kertaa ja vuoden 2019 toisella puoliskolla vielä 17 500 kertaa;
- Nämä tiedot muodostavat valtavan määrän tietoaelämästäsi ja tottumuksistasi ja anna niiden omistavan henkilön tunnistaa liikkeet ja toimintamallit. Joillekin ihmisille se voi jopa aiheuttaa fyysisen vaaran.
Kuten Jeffrey Paul toteaa, viime viikkoon asti kokoelma oli mahdollista estääMac-tiedot käyttämällä Little Snitch -nimistä ohjelmaa. Julkaistu versio macOS 11.0 , joka tunnetaan myös nimellä Big Sur, onuudet sovellusliittymät, jotka eivät salli Little Snitchin toimia samalla tavalla.Uudet sovellusliittymät estävät Little Snitchiä tarkistamasta tai estämästä käyttöjärjestelmätason prosesseja.Lisäksi macOS 11:n uudet säännöt vaikeuttavat VPN:ien toimintaa, joten Applen sovellukset yksinkertaisesti ohittavatheidän.
Eikö kaikki ole huono?
Kaikki eivät kuitenkaan olleet samaa mieltä Jffrey Paulin analyysistä.Kyberturvallisuusopiskelija Jacopo Iannonen blogikirjoituksessa todetaan, että palvelimelle lähetetyt tiedotApplen OCSP:t sisältävät tietoja, jotka koskevat erityisesti apin kehittäjää, mutta eivät itse appia.Hän lisää, että Applen portinvartijapalvelu voi lähettää suoritettavan tiedoston tiivisteen, mutta erilläänApplen omalla tukisivulla todetaan, että Gatekeeper käyttää"Salattu yhteys, joka kestää palvelinvirheitä."
Miten Apple reagoi ?
Apple joutui selventämään, miten sen alusta suojaaGatekeeper-haittaohjelma sen jälkeen, kun tietoturvatutkijat ehdottivat, että järjestelmä rikkoiYritys, kuten 9to5Mac totesi,
Applen edustaja kertoo iPhonelle KanadassaBlogi siitä, että yritys on päivittänyt tukiasiakirjat selittääkseen, että järjestelmä ei seuraa käyttäjien toimia. Samalla Apple ilmoitti muuttavansa Gatekeeperin toimintaa tulevaisuudessa minimoidakseen tulevaisuuden riskit.
"Gatekeeper suorittaa online-tarkistuksia tarkistaakseen, sisältääkö sovellus tunnettuja haittaohjelmia ja onko varmenne peruutettu kehittäjien allekirjoitukset", Apple selittää. Emme ole koskaan yhdistäneet näiden tarkistusten tietoja Applen käyttäjien tai heidän laitteidensa tietoihin. Emme käytä näiden tarkistusten tietoja selvittääksemme, mitä yksittäisiä käyttäjiä on käynnissätai ajaa heidän laitteillaan ", yritys selitti.
Tämän lisäksi Apple sanoo, että "teemme seuraavan vuoden aikana useita muutoksia turvatarkastuksiin", nimittäin:
- uusi salattu protokolla kehittäjätodistuksen varmenteen kumoamisen tarkistamiseksi;
- luotettava suojaus palvelimen vikoja vastaan;
- uusi etusija käyttäjille, jotka haluavat kieltäytyä näistä suojauksista.
Apple toimitti myös iPhonen Kanadassa -bloginteknisiä lisätietoja tilanteesta. Varmenteiden peruuttamistarkistukset suoritetaan sen varmistamiseksi, että yritys ei ole peruuttanut sovelluksen allekirjoittamiseen käytettyjä kehittäjätunnusvarmenteita. Tämä vaihe on kriittinen turvallisuuden kannalta, koska varmenne voidaan noutaa, jos kehittäjä epäilee, että kolmannet osapuolet ovat vaarantaneet sen tai sitä käytetään haitallisten sovellusten allekirjoittamiseen.
MacOS käyttää alan standardiprotokollaaVarmenteen tila (OCSP) sen varmistamiseksi, että sovelluskehittäjälle annettua kehittäjän koodin allekirjoitusvarmentetta ei ole peruutettu. Tämä OCSP-pyyntö ei sisällä käyttäjän Apple ID: tä eikä altista käynnistettävää laitetta tai sovellusta.
Apple huomautti, että OCSP: n jälkeenkäytetään muiden sertifikaattien, myös salattujen verkkoyhteyksien, varmentamiseen, nämä pyynnöt tehdään salaamattoman HTTP: n kautta, mikä on yleistä koko teollisuudessa.
HTTP: tä käytetään tilanteiden estämiseen,OCSP-palvelimeen yhteyden turvaavan varmenteen vahvistaminen saattaa riippua samalle OCSP-palvelimelle tehdyn pyynnön tuloksesta, mikä luo silmukan, joka tekisi pyynnön ratkaisemisen mahdottomaksi Applen mukaan.
Apple sanoo macOS Catalina ja uudemmatMyöhemmissä versioissa yritys olettaa kaikkien käynnissä olevien sovellusten olevan notaarin vahvistama, että Apple on tarkistanut ne tunnettujen haittaohjelmien varalta. Kun sovellus käynnistetään, macOS tarkistaa, onko Apple merkinnyt sovelluksen haitalliseksi sen ensimmäisen notaarin vahvistamisen jälkeen. Nämä tarkistukset tapahtuvat salatulla yhteydellä ja ne ovat luotettavia palvelimen kaatumisia vastaan. Näin tapahtui eräänä päivänä, ja käyttäjät näkivät, että heidän sovelluksensa jäätyvät ja toimivat loputtomiin.
Mikä aiheutti ongelman OCSP-palvelimessa?
Apple väittää, että tämä johtui palvelinpuolen virheellisestä määrityksestä, joka erityisesti esti macOS:ää tallentamasta kehittäjätunnuksen OCSP-vastauksia välimuistiin.Tämä määritysvirhe yhdessä CDN:n (Independent Content Delivery Network) virheellisen määrityksen kanssa on syynä sovelluksen heikkoon suorituskykyyn käynnistyksen yhteydessä.
Apple selitti jo Kanadan iPhonelleKorjattu tämä suorituskykyongelma palvelinpuolen päivityksellä, joka sallii MacOS: n välimuisti kehittäjätunnuksen OCSP-tarkistukset pidempään. MacOS-käyttäjien ei tarvitse tehdä mitään hyödyntääkseen tätä Apple-päivitystä.
Sovellusten notaaritarkastukset ovat tottuneetvahvistus siitä, että Apple ei ole pitänyt MacOS-ohjelmassa olevia sovelluksia haitallisina siitä lähtien, kun ne notaarin vahvistivat. Apple sanoo, että nämä tarkistukset tapahtuvat salatun yhteyden kautta ja ovat immuuneja palvelimen kaatumisilta. Palvelinpuolen ongelma, joka esti OCSP-pyyntöjä, ei vaikuttanut notaaritarkastuksiin.
Lue myös
Tuomiopäivän jäätikkö osoittautui vaarallisemmaksi kuin tutkijat ajattelivat. Kerromme pääasia
Hyperloop saavuttaa nopeuden 1019 km / h
Algoritmi loi 3000 uutta Pokemonia