Ringer din Mac virkelig hjem til Apple, hver gang du starter en app? Det er påstanden, der fløj rundt efter den 12. oktober 2020, hvor en Apple-server blev langsom, og moderne Mac’er tog lang tid at åbne apps. Vi vil forklare, hvad der foregår.
Info: Dette gælder både macOS Big Sur og macOS Catalina. Afmatningen og tilhørende bekymringer om privatlivets fred er ikke nye i macOS Big Sur.
Indholdsfortegnelse
Hvorfor Mac-apps er signeret med udviklercertifikater
På en Mac er apps, du downloader – uanset om de er fra Mac App Store eller fra nettet – signeret med et udviklercertifikat. Når du starter en app, tjekker den appen for at bekræfte, at den er underskrevet af en legitim udvikler, og at den ikke er blevet manipuleret. Dette hjælper med at beskytte dig mod malware.
For eksempel, når Mozilla opretter Firefox, kompilerer den en Firefox-applikationsfil og signerer den derefter med Mozillas udviklercertifikat. Dette er Mozillas måde at bevise, at filen er legitim og oprettet af Mozilla. Hvis applikationsfilen manipuleres bagefter, vil din Mac bemærke forskellen.
Disse certifikater er kun gyldige i et vist tidsinterval – måske et par år – men de kan “tilbagekaldes” tidligt. For eksempel, hvis Apple opdager, at en udvikler bruger sit certifikat til at signere ondsindede apps, tilbagekalder Apple derefter certifikatet. Mac’er indlæser ikke apps med det tilbagekaldte certifikat.
OCSP forklaret: Hvorfor er din Mac-telefon hjemme?
Men vent – hvordan ved din Mac, om Apple har tilbagekaldt et certifikat, der er knyttet til en app på din Mac? For at kontrollere, bruger din Mac noget, der hedder Online Certificate Status Protocol eller OCSP; det bruges også af webbrowsere til at kontrollere webstedscertifikater, mens du browser.
Når du starter en app, sender din Mac oplysninger om dens certifikat til en Apple-server på ocsp.apple.com. Din Mac spørger denne Apple-server, om certifikatet er blevet tilbagekaldt. Hvis det ikke er tilfældet, starter din Mac appen. Hvis certifikatet er blevet tilbagekaldt, starter din Mac ikke appen.
Sker dette hver gang du starter en app?
Din Mac husker disse svar i en periode. Den 12. november 2020 blev svar cachelagret i fem minutter; med andre ord, hvis du startede en app, lukkede den og startede den igen fire minutter senere, ville din Mac ikke skulle spørge Apple om certifikatet en anden gang. Men hvis du startede en app, lukkede den og startede den seks minutter senere, skulle din Mac spørge Apples servere igen.
Af en eller anden grund – måske på grund af ændringer i macOS Big Sur – blev Apples server oversvømmet og blev meget langsom den 12. november 2020. Svarene bremsede betydeligt, og apps tog lang tid at indlæse, da Mac-computere tålmodigt ventede på et svar fra Apples langsomme server.
Efter denne hændelse fortæller Apples OSCP-server nu Mac’er, at de skal huske certifikatets gyldighedssvar i 12 timer. Din Mac ringer hjem og spørger om et certifikat, hver gang du starter en app – medmindre du har modtaget et svar inden for de sidste 12 timer, i hvilket tilfælde det ikke er nødvendigt. (Oplysningerne om tidsperioder her kommer fra uafhængig appudvikler Jeff Johnson.)
Hvad hvis en Mac er offline?
OCSP-tjekket er designet til at mislykkes med ynde. Hvis du er offline, springer din Mac lydløst over kontrollen og starter apps normalt.
Det samme gælder, hvis din Mac ikke kan nå ocsp.apple.com-serveren – måske fordi serveradressen er blevet blokeret på dit netværk på routerniveau. Hvis din Mac ikke kan kontakte serveren, springer den kontrollen over og starter appen med det samme.
Problemet den 12. november 2020 var, at mens Mac’er kunne nå Apples server, var selve serveren langsom. Men i stedet for lydløst at fejle og komme videre med at starte en app, ventede Mac’er længe på et svar. Hvis serveren havde været helt nede, ville ingen have bemærket det.
Hvad er privatlivsrisikoen? Hvad lærer Apple?
Der er flere bekymringer om privatlivets fred, folk har taget op her. De er stavet ud i hacker og sikkerhedsforsker Jeffrey Pauls blærede syn på situationen.
Certifikater er forbundet med apps: Når din Mac kontakter OCSP-serveren, spørger den om et certifikat, der sandsynligvis er forbundet med én app – eller måske en håndfuld apps. Teknisk set fortæller din Mac ikke Apple, hvilken app du har startet. For eksempel, hvis du starter Firefox, lærer Apple lige, at du har lanceret en app, der er oprettet af Mozilla. Det kunne være Firefox eller Thunderbird, men Apple ved ikke hvilken. Men hvis du starter en app, der er signeret af Tor-projektet, kan Apple få en ret god idé om, at du har åbnet Tor-browseren.
Forespørgsler er forbundet med IP-adresser og tidspunkter: Disse anmodninger kan naturligvis være forbundet med en dato og tid og din IP-adresse. Det er bare sådan, internettet fungerer. Din IP-adresse er knyttet til en bestemt by og stat. Hver OCSP-anmodning fortæller Apple udvikleren, der har oprettet den app, du starter, din generelle placering og datoen og klokkeslættet, hvor du startede appen.
Mangel på kryptering betyder, at snooping er mulig: OCSP-protokollen er ukrypteret. Ikke alene får Apple disse oplysninger – alle i midten kan også se disse oplysninger. Din internetudbyder, netværksadministrator på arbejdspladsen eller endda et spionagentur, der overvåger internettrafik, kan aflytte OSCP-trafikken mellem dig og Apple og lære alle disse detaljer. Disse anmodninger går også gennem en tredjepart indholdsdistributionsnetværk (CDN) ved navn Akamai. Dette fremskynder dem – men tilføjer en anden mellemmand, der teknisk set kunne snuppe.
Info: Din Mac fortæller ikke Apple, hvilken app du starter. I stedet fortæller din Mac bare Apple, hvilken udvikler der har oprettet den app, du starter. Selvfølgelig opretter mange udviklere bare én app. Denne tekniske skelnen betyder ofte ikke meget.
(Husk: Med ændringen til caching-adfærd spørger din Mac ikke længere Apple, hver gang du starter en app. Den gør kun dette hver 12. time i stedet for hvert 5. minut).
Hvorfor gør din Mac dette?
Som du måske forventer, handler det hele om sikkerhed. Mac er en mere åben platform end iPad og iPhone. Du kan downloade apps hvor som helst, selv uden for Apples Mac App Store.
For at beskytte Mac’en mod malware – og ja, Mac-malware er blevet mere almindeligt – implementerede Apple dette sikkerhedstjek. Hvis et certifikat, der bruges til at signere en app, tilbagekaldes, kan din Mac straks træde i gang og nægte at åbne den app. Dette giver Apple magten til at forhindre Mac-computere i at lancere kendte ondsindede apps.
Kan du blokere OCSP-tjek?
Disse OCSP-tjek er designet til hurtigt og lydløst at fejle, når en Mac enten er offline eller ikke kan kontakte ocsp.apple.com-serveren.
Det gør dem nemme at blokere: Bare forhindre din Mac i at oprette forbindelse til ocsp.apple.com. For eksempel kan du ofte blokere denne adresse på din router, hvilket forhindrer alle enheder på dit netværk i at oprette forbindelse til den.
Desværre virker det som Big Sur ikke længere lader Firewalls på softwareniveau på Mac blokerer Macs indbyggede tillidsproces i at få adgang til fjernservere som denne.
Advarsel: Hvis du blokerer ocsp.apple.com-serveren, vil din Mac ikke bemærke, når Apple har tilbagekaldt en apps udviklercertifikat. Du vælger at deaktivere en sikkerhedsfunktion, og det kan sætte din Mac i fare.
Hvad siger Apple og lover at ændre sig?
Apple ser ud til at have hørt kritikken. Den 16. november 2020 tilføjede virksomheden oplysninger om “privatlivsbeskyttelse” for Gatekeeper på sin hjemmeside.
For det første siger Apple, at det aldrig har kombineret data fra disse certifikat- eller malware-tjek med andre data, Apple kender om dig. Virksomheden lover, at den ikke bruger disse oplysninger til at spore, hvilke apps enkeltpersoner lancerer på deres Macs.
For det andet insisterer Apple på, at disse certifikatkontroller ikke er forbundet med dit Apple-id eller nogen enhedsspecifik information ud over din IP-adresse. Apple siger, at det er holdt op med at logge IP-adresser forbundet med disse anmodninger og vil fjerne dem fra Apples logfiler.
I løbet af det næste år – med andre ord ved udgangen af 2021 – siger Apple, at det vil foretage disse ændringer:
Erstat OCSP med en krypteret protokol: Apple siger, at det vil oprette en ny krypteret protokol til at erstatte det ukrypterede OCSP-system til kontrol af udviklercertifikater. Dette vil forhindre nogen i midten i at snoke.
Stop afmatningerne: Apple lover også “stærk beskyttelse mod serverfejl” – med andre ord vil apps ikke være langsomme til at indlæse, fordi en server sænkede farten igen.
Giv brugerne valgmuligheder: Apple siger, at Mac-brugere vil være i stand til at slå disse sikkerhedsbeskyttelser fra og forhindre deres Mac i at søge efter tilbagekaldte udviklercertifikater.
Overordnet set vil disse ændringer eliminere forskellige problemer – tredjeparter kan ikke længere snuppe i midten. Mac’er vil stadig sende Apple-oplysninger, den kan bruge til at spore, hvilke apps du åbner, men Apple lover ikke at knytte disse oplysninger til dig. Opbremsninger bør elimineres, da Apple også løser ydeevneproblemet.
Hvad vil denne bedre protokol være? Nå, Apple har endnu ikke sagt, hvad det vil erstatte OCSP med. Som sikkerhedsforsker Scott Helme noter, noget lignende CRLite kunne hjælpe med at tråde nålen her. Forestil dig, hvis din Mac kunne downloade en enkelt fil fra Apple og regelmæssigt opdatere den. Filen ville indeholde en komprimeret liste over alle certifikattilbagekaldelser. Når du starter en app, kan din Mac tjekke filen, hvilket eliminerer netværkstjek og privatlivsproblemer.
Din Mac sender nogle gange app-hash til Apple
I øvrigt sender din Mac nogle gange hash af de apps, du åbner, til Apples servere. Dette er forskelligt fra OCSP-signaturkontrollen. I stedet har det at gøre med Gatekeeper notarisering.
Udviklere kan uploade apps til Apple, som tjekker dem for malware og derefter “notariserer” dem, hvis de virker sikre. Denne notariseringsbilletinformation kan “hæftes” til appen. Hvis en udvikler ikke hæfter billetoplysningerne til app-filen, vil din Mac tjekke med Apples servere, første gang du starter den app.
Dette sker kun første gang, du starter en given version af en app – ikke hver gang den åbner. Og onlinekontrollen kan elimineres af udvikleren gennem hæftning.
Mac’er er ikke unikke her. For eksempel uploader Windows 10-pc’er ofte data om apps, du downloader, til Microsofts SmartScreen-tjeneste for at tjekke for malware. Antivirusprogrammer og andre sikkerhedsapplikationer kan også uploade oplysninger om mistænkelige apps til sikkerhedsfirmaet.