O seu Mac realmente liga para a Apple cada vez que tu inicia um aplicação? esta é a alegação que circula depois de 12 de outubro de 2020, quando um servidor da Apple tornou-se lento e os Macs modernos demoraram muito para abrir os aplicações. Vamos explicar o que está acontecendo.
Info: isto se aplica ao macOS Big Sur e ao macOS Catalina . A desaceleração e as preocupações com a privacidade associadas não são novas no macOS Big Sur.
Índice
Por que os aplicações Mac são assinados com certificados de desenvolvedor
Em um Mac, os aplicações que tu baixa – seja da Mac App Store ou da web – são assinados com um certificado de desenvolvedor. Sempre que tu inicia um aplicação, ele verifica se ele foi assinado por um desenvolvedor legítimo e se não foi adulterado. isto ajuda a protegê-lo contra malware.
Por exemplo, quando o Mozilla cria o Firefox, ele compila um ficheiro de aplicação do Firefox e o assina com o certificado de desenvolvedor do Mozilla. esta é a maneira da Mozilla de provar que o ficheiro é legítimo e criado pela Mozilla. Se o ficheiro do aplicação for adulterado posteriormente, seu Mac notará a diferença.
Esses certificados são válidos apenas por um determinado intervalo de tempo – talvez alguns anos – mas podem ser “revogados” antecipadamente. Por exemplo, se a Apple descobrir que um desenvolvedor está usando seu certificado para assinar aplicações maliciosos, a Apple revoga o certificado. Macs não carregam aplicações com o certificado revogado.
OCSP explicou: Por que o seu Mac Phone fica em casa?
Mas espere – como o seu Mac sabe se a Apple revogou um certificado associado a um aplicação no seu Mac? Para verificar, seu Mac usa algo chamado Protocolo de Status de Certificado Online ou OCSP; também é usado por navegadores da web para verificar os certificados do site enquanto tu navega.
Quando tu inicia um aplicação, seu Mac envia informações sobre seu certificado para um servidor Apple em ocsp.apple.com. Seu Mac pergunta a este servidor Apple se o certificado foi revogado. Se não tiver, seu Mac iniciará o aplicação. Se o certificado foi revogado, seu Mac não iniciará o aplicação.
isto acontece toda vez que tu inicia um aplicação?
Seu Mac se lembra dessas respostas por um período de tempo. Em 12 de novembro de 2020, as respostas foram armazenadas em cache por cinco minutos; em outras palavras, se tu iniciar um aplicação, fechá-lo e iniciá-lo novamente quatro minutos depois, seu Mac não terá que perguntar à Apple sobre o certificado uma segunda vez. No entanto, se tu iniciar um aplicação, fechá-lo e iniciá-lo seis minutos depois, seu Mac terá que solicitar aos servidores da Apple novamente.
Por algum motivo, talvez devido a mudanças no macOS Big Sur, o servidor da Apple ficou sobrecarregado e ficou muito lento em 12 de novembro de 2020. As respostas diminuíram consideravelmente e os aplicações demoraram muito para carregar enquanto os Macs esperavam pacientemente por uma resposta da lentidão da Apple servidor.
Depois desse evento, o servidor OSCP da Apple agora diz aos Macs para lembrar as respostas de validade do certificado por 12 horas. Seu Mac ligará para casa e perguntará sobre um certificado sempre que tu iniciar um aplicação – a menos que tu tenha recebido uma resposta nas últimas 12 horas, caso em que não será necessário. (As informações sobre os períodos de tempo aqui vêm do desenvolvedor de aplicações independente Jeff Johnson .)
E se um Mac estiver offline?
A verificação OCSP foi projetada para falhar normalmente. Se tu estiver offline, seu Mac ignorará silenciosamente a verificação e iniciará os aplicações normalmente.
O mesmo é verdade se o seu Mac não puder acessar o servidor ocsp.apple.com – talvez porque o endereço do servidor tenha sido bloqueado em sua rede no nível do roteador . Se o seu Mac não conseguir entrar em contacto com o servidor, ele ignora a verificação e inicia o aplicação imediatamente.
O problema em 12 de novembro de 2020 era que, embora os Macs pudessem alcançar o servidor da Apple, o servidor em si era lento. Mas, em vez de falhar silenciosamente e iniciar o lançamento de um aplicação, os Macs esperaram muito tempo por uma resposta. Se o servidor tivesse caído completamente, ninguém teria notado.
Qual é o risco de privacidade? O que a Apple aprende?
Existem várias questões de privacidade que as pessoas levantaram aqui. Eles são explicados na abordagem contundente do hacker e pesquisador de segurança Jeffrey Paul sobre a situação .
- Certificados são associados a aplicações : quando seu Mac contata o servidor OCSP, ele pergunta sobre um certificado que provavelmente está associado a um aplicação – ou, talvez, a um punhado de aplicações. Tecnicamente, seu Mac não informa à Apple qual aplicação tu lançou. Por exemplo, se tu iniciar o Firefox, a Apple ficará sabendo que tu iniciou um aplicação criado pelo Mozilla. Pode ser Firefox ou Thunderbird, mas a Apple não sabe qual. No entanto, se tu iniciar um aplicação assinado pelo Projeto Tor, a Apple pode ter uma boa ideia de que tu abriu o navegador Tor .
- As solicitações estão associadas a endereços IP e horários : essas solicitações podem, é claro, ser associadas a uma data e hora e ao seu endereço IP . É assim que a internet funciona. Seu endereço IP está associado a uma determinada cidade e estado. Cada solicitação OCSP informa à Apple o desenvolvedor que criou o aplicação que tu está iniciando, sua localização geral e a data e hora em que tu iniciou o aplicação.
- A falta de criptografia significa que o Snooping é possível : o protocolo OCSP não está criptografado . A Apple não apenas obtém essas informações – qualquer pessoa no meio também pode ver essas informações. Seu provedor de serviços de Internet, administrador de rede no local de trabalho ou até mesmo uma agência de espionagem que monitora o tráfego da Internet pode espionar o tráfego OSCP entre tu e a Apple e aprender todos esses detalhes. Essas solicitações também passam por uma rede de distribuição de conteúdo (CDN) de terceiros chamada Akamai. isto os acelera – mas adiciona outro intermediário que pode espionar tecnicamente.
Informação: Seu Mac não está informando à Apple qual aplicação tu está iniciando. Em vez disso, seu Mac está apenas dizendo à Apple qual desenvolvedor criou o aplicação que tu está iniciando. Claro, muitos desenvolvedores apenas criam um aplicação. esta distinção técnica geralmente não significa muito.
(Lembre-se: com a mudança no comportamento de cache, o Mac não pergunta mais à Apple sempre que tu inicia um aplicação. Ele só faz isto a cada 12 horas em vez de a cada 5 minutos.)
Por que o seu Mac está fazendo isto?
Como tu pode esperar, tudo se resume à segurança. O Mac é uma plataforma mais aberta do que o iPad e o iPhone. tu pode descarregar aplicações de qualquer lugar, mesmo fora da Mac App Store da Apple.
Para proteger o Mac contra malware – e sim, o malware do Mac se tornou mais comum – a Apple implementou esta verificação de segurança. Se um certificado usado para assinar um aplicação for revogado, seu Mac pode imediatamente entrar em ação e se recusar a abrir este aplicação. isto dá à Apple o poder de impedir que Macs iniciem aplicações mal-intencionados conhecidos.
tu pode bloquear as verificações OCSP?
Essas verificações de OCSP são projetadas para falhar rápida e silenciosamente quando um Mac está offline ou não pode entrar em contacto com o servidor ocsp.apple.com.
isto os torna simples de bloquear: apenas evite que seu Mac se conecte a ocsp.apple.com. Por exemplo, tu pode frequentemente bloquear este endereço em seu roteador, evitando que todos os dispositivos em sua rede se conectem a ele.
Infelizmente, parece que Big Sur não permite mais que firewalls de nível de software no Mac bloqueiem o processo trustd integrado do Mac de acessar servidores remotos como este.
Aviso: Se tu bloquear o servidor ocsp.apple.com, seu Mac não notará quando a Apple revogou o certificado de desenvolvedor de um aplicação. tu está optando por desativar um recurso de segurança e isto pode colocar o seu Mac em risco.
O que a Apple diz e promete mudar?
A Apple parece ter ouvido as críticas. Em 16 de novembro de 2020, a empresa adicionou informações sobre “proteções de privacidade” para o Gatekeeper em seu site.
Em primeiro lugar, a Apple diz que nunca combinou os dados desses certificados ou verificações de malware com quaisquer outros dados que a Apple conhece sobre tu. A empresa promete não usar essas informações para rastrear quais aplicações os indivíduos estão lançando em seus Macs.
Em segundo lugar, a Apple insiste que essas verificações de certificado não estão associadas ao seu ID Apple ou a qualquer informação específica do dispositivo além do seu endereço IP. A Apple diz que parou de registrar endereços IP associados a essas solicitações e irá removê-los dos registros da Apple.
Durante o próximo ano – em outras palavras, até o final de 2021 – a Apple diz que fará as seguintes mudanças:
- Substituir OCSP por um protocolo criptografado : a Apple diz que criará um novo protocolo criptografado para substituir o sistema OCSP não criptografado para verificação de certificados de desenvolvedor. isto impedirá que qualquer pessoa no meio bisbilhote.
- Pare a desaceleração : a Apple também promete “fortes proteções contra falhas de servidor” – em outras palavras, os aplicações não demoram para carregar porque um servidor ficou lento novamente.
- Ofereça escolha aos utilizadores : a Apple diz que os utilizadores do Mac poderão desligar essas proteções de segurança e impedir que o Mac verifique se há certificados de desenvolvedor revogados.
No geral, essas mudanças eliminarão vários problemas – terceiros não podem mais bisbilhotar no meio. Os Macs ainda enviarão informações à Apple que podem ser usadas para rastrear quais aplicações tu abre, mas a Apple promete não associar essas informações a tu. As lentidões devem ser eliminadas, pois a Apple também corrige o problema de desempenho.
Qual será este protocolo melhor? Bem, a Apple ainda não disse com o que substituirá o OCSP. Como observa o pesquisador de segurança Scott Helme , algo como CRLite pode ajudar a enfiar a linha na agulha aqui. Imagine se o seu Mac pudesse descarregar um único ficheiro da Apple e atualizá-lo regularmente. O ficheiro conteria uma lista compactada de todas as revogações de certificados. Sempre que tu inicia um aplicação, seu Mac pode verificar o ficheiro, eliminando as verificações de rede e problemas de privacidade.
Às vezes, seu Mac envia hashes de aplicações para a Apple
A propósito, o seu Mac às vezes envia hashes dos aplicações que tu abre para os servidores da Apple. isto é diferente das verificações de assinatura OCSP. Em vez disso, tem a ver com reconhecimento de firma do Gatekeeper .
Os desenvolvedores podem fazer upload de aplicações para a Apple, que os verifica em busca de malware e os “autentica” se parecerem seguros. Essas informações do tíquete de reconhecimento de firma podem ser “grampeadas” no aplicação. Se um desenvolvedor não grampear as informações do tíquete no ficheiro do aplicação, seu Mac verificará os servidores da Apple na primeira vez que tu iniciar o aplicação.
isto só acontece na primeira vez que tu inicia uma determinada versão de um aplicação – não sempre que ele é aberto. E a verificação online pode ser eliminada pelo desenvolvedor por meio de grampeamento.
Macs não são únicos aqui. Por exemplo, PCs com Windows 10 geralmente carregam dados sobre aplicações que tu baixa para o serviço SmartScreen da Microsoft para verificar a existência de malware. Programas antivírus e outros aplicações de segurança também podem enviar informações sobre aplicações de aparência suspeita para a empresa de segurança.
