Да ли ваш Мац заиста телефонира Аппле-у сваки пут када покренете апликацију? То је тврдња која се појавила после 12. октобра 2020. године, када је Аппле сервер постао спор, а модерним Мац-овима је требало много времена да отворе апликације. Објаснићемо шта се дешава.
Информације: Ово се односи и на мацОС Биг Сур и мацОС Цаталина. Успоравање и повезани проблеми приватности нису новина у мацОС Биг Сур-у.
Преглед садржаја
Зашто су Мац апликације потписане сертификатима програмера
На Мац рачунару, апликације које преузимате — било из Мац Апп Сторе-а или са веба — потписане су сертификатом програмера. Кад год покренете апликацију, она проверава апликацију како би потврдила да ју је потписао легитимни програмер и да није мењана. Ово вам помаже да се заштитите од злонамерног софтвера.
На пример, када Мозилла креира Фирефок, она компајлира датотеку апликације Фирефок, а затим је потписује Мозилла-иним сертификатом програмера. Ово је Мозилла-ин начин да докаже да је датотека легитимна и да је креирала Мозилла. Ако се датотека апликације касније мења, ваш Мац ће приметити разлику.
Ови сертификати важе само у одређеном временском интервалу—можда неколико година—али се могу раније „опозвати“. На пример, ако Аппле открије да програмер користи свој сертификат за потписивање злонамерних апликација, Аппле тада опозива сертификат. Мац рачунари неће учитавати апликације са тим опозваним сертификатом.
ОЦСП објашњено: Зашто је ваш Мац телефон код куће?
Али сачекајте – како ваш Мац зна да ли је Аппле опозвао сертификат повезан са апликацијом на вашем Мац-у? Да бисте проверили, ваш Мац користи нешто што се зове Онлине Цертифицате Статус Протоцол, или ОЦСП; такође га користе веб прегледачи за проверу сертификата веб локација док прегледате.
Када покренете апликацију, ваш Мац шаље информације о свом сертификату Аппле серверу на оцсп.аппле.цом. Ваш Мац пита овај Аппле сервер да ли је сертификат опозван. Ако није, ваш Мац покреће апликацију. Ако је сертификат опозван, ваш Мац неће покренути апликацију.
Да ли се ово дешава сваки пут када покренете апликацију?
Ваш Мац памти ове одговоре неко време. 12. новембра 2020. одговори су кеширани пет минута; другим речима, ако сте покренули апликацију, затворили је и поново покренули четири минута касније, ваш Мац не би морао да пита Аппле за сертификат други пут. Међутим, ако сте покренули апликацију, затворили је и покренули шест минута касније, ваш Мац би морао поново да пита Аппле-ове сервере.
Из било ког разлога — можда због промена у мацОС Биг Сур — Апплеов сервер је био затрпан и постао веома спор 12. новембра 2020. Одговори су се знатно успорили, а апликацијама је требало дуго да се учитавају док су Мацови стрпљиво чекали одговор од Аппле-овог спорог сервер.
Након тог догађаја, Аппле-ов ОСЦП сервер сада говори Мац рачунарима да памте одговоре о валидности сертификата 12 сати. Ваш Мац ће телефонирати кући и питати за сертификат сваки пут када покренете апликацију—осим ако нисте добили одговор у последњих 12 сати, у ком случају неће бити потребно. (Информације о временским периодима овде долазе од независног програмера апликација Јефф Јохнсон.)
Шта ако је Мац ван мреже?
ОЦСП провера је дизајнирана тако да не успе са благодатима. Ако сте ван мреже, ваш Мац ће тихо прескочити проверу и нормално покренути апликације.
Исто важи и ако ваш Мац не може да дође до сервера оцсп.аппле.цом — можда зато што је адреса сервера блокирана на вашој мрежи на нивоу рутера. Ако ваш Мац не може да контактира сервер, он прескаче проверу и одмах покреће апликацију.
Проблем 12. новембра 2020. био је у томе што су Мацови могли да дођу до Аппле-овог сервера, али сам сервер је био спор. Али уместо да тихо пропадају и настављају са покретањем апликације, Мацови су дуго чекали на одговор. Да је сервер потпуно угашен, нико не би приметио.
Шта је ризик за приватност? Шта Аппле учи?
Људи су овде изнели неколико питања везаних за приватност. Они су наведени у хакеру и истраживачу безбедности Јеффреи Паул је жестоко прихватио ситуацију.
Сертификати су повезани са апликацијама: Када ваш Мац контактира ОЦСП сервер, пита за сертификат који је вероватно повезан са једном апликацијом — или, можда, са неколико апликација. Технички, ваш Мац не говори Аппле-у коју апликацију сте покренули. На пример, ако покренете Фирефок, Аппле само сазна да сте покренули апликацију коју је креирала Мозилла. То може бити Фирефок или Тхундербирд, али Аппле не зна који. Међутим, ако покренете апликацију коју је потписао Тор Пројецт, Аппле може добити прилично добру идеју да сте отворили Тор претраживач.
Захтеви су повезани са ИП адресама и временима: Ови захтеви се, наравно, могу повезати са датумом и временом и вашом ИП адресом. Само тако интернет функционише. Ваша ИП адреса је повезана са одређеним градом и државом. Сваки ОЦСП захтев говори Аппле-у програмера који је креирао апликацију коју покрећете, вашу општу локацију и датум и време када сте покренули апликацију.
Недостатак шифровања значи да је њушкање могуће: ОЦСП протокол је нешифрован. Не само да Аппле добија ове информације – свако у средини такође може да види ове информације. Ваш провајдер интернет услуга, администратор мреже на радном месту или чак шпијунска агенција која надгледа интернет саобраћај могу да прислушкују ОСЦП саобраћај између вас и Аппле-а и сазнају све ове детаље. Ови захтеви такође иду преко треће стране мрежа за дистрибуцију садржаја (ЦДН) по имену Акамаи. Ово их убрзава – али додаје још једног посредника који би технички могао да њушка.
Информације: Ваш Мац не говори Аппле-у коју апликацију покрећете. Уместо тога, ваш Мац само говори Аппле-у који програмер је креирао апликацију коју покрећете. Наравно, многи програмери само креирају једну апликацију. Ова техничка разлика често не значи много.
(Запамтите: Са променом понашања кеширања, ваш Мац више не пита Аппле сваки пут када покренете апликацију. То ради само сваких 12 сати уместо сваких 5 минута.)
Зашто ваш Мац ово ради?
Као што можете очекивати, све се ради о безбедности. Мац је отворенија платформа од иПад-а и иПхоне-а. Можете да преузимате апликације са било ког места, чак и ван Аппле-ове Мац Апп Сторе-а.
Да би заштитио Мац од злонамерног софтвера — и да, Мац малвер је постао чешћи — Аппле је применио ову безбедносну проверу. Ако је сертификат који се користи за потписивање апликације опозван, ваш Мац може одмах да крене у акцију и одбије да отвори ту апликацију. Ово даје Аппле-у моћ да спречи Мац рачунаре да покреће познате злонамерне апликације.
Можете ли блокирати ОЦСП провере?
Ове ОЦСП провере су дизајниране да брзо и тихо не успеју када је Мац или ван мреже или не може да контактира сервер оцсп.аппле.цом.
То их чини једноставним за блокирање: Само спречите да се ваш Мац повеже са оцсп.аппле.цом. На пример, често можете блокирати ову адресу на рутеру, спречавајући све уређаје на вашој мрежи да се повежу на њу.
Нажалост, изгледа као Биг Сур више не дозвољава заштитни зидови на нивоу софтвера на Мац-у блокирају Мацов уграђени процес од поверења да приступи удаљеним серверима као што је овај.
Упозорење: Ако блокирате сервер оцсп.аппле.цом, ваш Мац неће приметити када је Аппле опозвао сертификат програмера апликације. Одлучили сте да онемогућите безбедносну функцију и то би могло да угрози ваш Мац.
Шта Аппле каже и обећава да ће се променити?
Чини се да је Аппле чуо критике. Компанија је 16. новембра 2020. додала информације о „заштита приватности“ за Гатекеепер на својој веб страници.
Прво, Аппле каже да никада није комбиновао податке из ових провера сертификата или малвера са било којим другим подацима које Аппле зна о вама. Компанија обећава да неће користити ове информације да би пратила које апликације појединци покрећу на својим Мац рачунарима.
Друго, Аппле инсистира да ове провере сертификата нису повезане са вашим Аппле ИД-ом или било којим информацијама специфичним за уређај осим ваше ИП адресе. Аппле каже да је престао да евидентира ИП адресе повезане са овим захтевима и да ће их уклонити из Аппле-ових дневника.
Током следеће године — другим речима, до краја 2021 — Аппле каже да ће извршити следеће промене:
Замените ОЦСП шифрованим протоколом: Аппле каже да ће креирати нови шифровани протокол који ће заменити нешифровани ОЦСП систем за проверу сертификата програмера. Ово ће спречити било кога у средини да њушка.
Зауставите успоравања: Аппле такође обећава „снажну заштиту од отказивања сервера“ — другим речима, апликације се неће споро учитавати јер је сервер поново успорио.
Омогућите избор корисницима: Аппле каже да ће корисници Мац-а моћи да искључе ове безбедносне заштите и да спрече свој Мац да проверава да ли има опозваних сертификата програмера.
Све у свему, ове промене ће елиминисати различите проблеме — треће стране више не могу да њушкају у средини. Мац рачунари ће и даље слати Аппле-у информације које може да користи за праћење које апликације отварате, али Аппле обећава да неће повезивати те информације са вама. Успоравања би требало да буду елиминисана јер Аппле решава и проблем са перформансама.
Шта ће бити овај бољи протокол? Па, Аппле још није рекао чиме ће заменити ОЦСП. Као истраживач безбедности Сцотт Хелме белешке, нешто слично ЦРЛите могао би помоћи да увучемо иглу овде. Замислите да ваш Мац може да преузме једну датотеку са Аппле-а и да је редовно ажурира. Датотека би садржала компримовану листу свих опозива сертификата. Кад год покренете апликацију, ваш Мац може да провери датотеку, елиминишући мрежне провере и проблеме са приватношћу.
Ваш Мац понекад шаље хешове апликације Аппле-у
Иначе, ваш Мац понекад шаље хешове апликација које отворите на Апплеове сервере. Ово се разликује од ОЦСП провера потписа. Уместо тога, то има везе са Гатекеепер-ом овера код нотара.
Програмери могу да отпремају апликације у Аппле, који их проверава да ли има малвера, а затим их „оверава код нотара“ ако се чине безбедним. Ове информације о нотарској карти могу се „заклапати“ у апликацију. Ако програмер не спаја информације о улазници у датотеку апликације, ваш Мац ће проверити са Аппле-овим серверима када први пут покренете ту апликацију.
Ово се дешава само када први пут покренете дату верзију апликације — не сваки пут када се отвори. А онлајн проверу програмер може елиминисати хефтањем.
Мацови овде нису јединствени. На пример, рачунари са оперативним системом Виндовс 10 често отпремају податке о апликацијама које преузимате на Мицрософт-ову СмартСцреен услугу да би проверили да ли има малвера. Антивирусни програми и друге безбедносне апликације такође могу да отпреме информације о апликацијама сумњивог изгледа у безбедносну компанију.