Чи справді ваш Mac телефонує до Apple щоразу, коли ви запускаєте програму? Це звинувачення з’явилося після 12 жовтня 2020 року, коли сервер Apple став повільним, а сучасним комп’ютерам Mac потрібно було багато часу, щоб відкривати програми. Ми пояснимо, що відбувається.
Інформація: це стосується як macOS Big Sur, так і macOS Catalina. Уповільнення та пов’язані з цим проблеми з конфіденційністю не є новим для macOS Big Sur.
Чому програми для Mac підписуються сертифікатами розробника
На Mac програми, які ви завантажуєте — чи то з Mac App Store, чи з Інтернету, — підписуються сертифікатом розробника. Щоразу, коли ви запускаєте програму, вона перевіряє програму, щоб переконатися, що її підписав законний розробник і чи вона не була підроблена. Це допомагає захистити вас від шкідливого програмного забезпечення.
Наприклад, коли Mozilla створює Firefox, вона компілює файл програми Firefox, а потім підписує його сертифікатом розробника Mozilla. Це спосіб Mozilla довести, що файл є законним і створений Mozilla. Якщо файл програми буде підроблено пізніше, ваш Mac помітить різницю.
Ці сертифікати дійсні лише протягом певного проміжку часу — можливо, кілька років, — але їх можна «відкликати» достроково. Наприклад, якщо Apple виявляє, що розробник використовує свій сертифікат для підписання шкідливих програм, Apple потім анулює сертифікат. Комп’ютери Mac не завантажуватимуть програми з цим скасованим сертифікатом.
OCSP пояснює: чому ваш телефон Mac стає домашнім?
Але зачекайте, як ваш Mac дізнається, чи Apple відкликала сертифікат, пов’язаний із програмою на вашому Mac? Щоб перевірити, ваш Mac використовує так званий протокол статусу онлайн-сертифіката або OCSP; він також використовується веб-браузерами для перевірки сертифікатів веб-сайтів під час перегляду.
Коли ви запускаєте програму, ваш Mac надсилає інформацію про свій сертифікат на сервер Apple на ocsp.apple.com. Ваш Mac запитує цей сервер Apple, чи було скасовано сертифікат. Якщо це не так, ваш Mac запускає програму. Якщо сертифікат було відкликано, ваш Mac не запустить програму.
Це відбувається щоразу, коли ви запускаєте програму?
Ваш Mac запам’ятовує ці відповіді протягом певного періоду часу. 12 листопада 2020 року відповіді кешувалися протягом п’яти хвилин; іншими словами, якщо ви запустили програму, закрили її та знову запустили через чотири хвилини, вашому Mac не потрібно було б запитувати Apple про сертифікат вдруге. Однак якщо ви запустили програму, закрили її та запустили через шість хвилин, вашому Mac доведеться знову запитати сервери Apple.
З будь-якої причини — можливо, через зміни в macOS Big Sur — 12 листопада 2020 року сервер Apple був перевантажений і став дуже повільним. Відповіді значно сповільнилися, а додатки довго завантажувалися, оскільки комп’ютери Mac терпляче чекали відповіді від повільного Apple сервер.
Після цієї події сервер OSCP від Apple тепер повідомляє комп’ютерам Mac запам’ятовувати відповіді про дійсність сертифікатів протягом 12 годин. Ваш Mac телефонуватиме додому та запитуватиме сертифікат щоразу, коли ви запускаєте програму, якщо ви не отримали відповідь протягом останніх 12 годин, і в цьому випадку це не потрібно. (Інформація про періоди часу тут надходить від незалежного розробника програми Джефф Джонсон.)
Що робити, якщо Mac знаходиться в автономному режимі?
Перевірка OCSP розрахована на помилку. Якщо ви перебуваєте в автономному режимі, ваш Mac безшумно пропустить перевірку та запустить програми в звичайному режимі.
Те саме вірно, якщо ваш Mac не може підключитися до сервера ocsp.apple.com — можливо, тому, що адреса сервера була заблокована у вашій мережі на рівні маршрутизатора. Якщо ваш Mac не може зв’язатися з сервером, він пропускає перевірку та негайно запускає програму.
Проблема 12 листопада 2020 року полягала в тому, що, хоча комп’ютери Mac могли дістатися до сервера Apple, сам сервер працював повільно. Але замість того, щоб мовчки відмовитися і продовжувати запуск програми, Mac довго чекали відповіді. Якби сервер був повністю вимкнений, ніхто б не помітив.
Що таке ризик конфіденційності? Чого вчиться Apple?
Тут є кілька проблем із конфіденційністю. Вони прописані в хакері та досліднику безпеки Джеффрі Поль невпевнено ставиться до ситуації.
Сертифікати пов’язані з програмами: коли ваш Mac зв’язується з сервером OCSP, він запитує про сертифікат, який, ймовірно, пов’язаний з однією програмою або, можливо, з кількома програмами. Технічно ваш Mac не повідомляє Apple, яку програму ви запустили. Наприклад, якщо ви запустите Firefox, Apple просто дізнається, що ви запустили програму, створену Mozilla. Це може бути Firefox або Thunderbird, але Apple не знає який. Однак, якщо ви запустите програму, підписану проектом Tor, Apple може отримати досить гарну ідею, що ви відкрили браузер Tor.
Запити пов’язані з IP-адресами та часом: ці запити, звичайно, можуть бути пов’язані з датою, часом і вашою IP-адресою. Саме так працює Інтернет. Ваша IP-адреса пов’язана з певним містом і штатом. Кожен запит OCSP повідомляє Apple розробника, який створив програму, яку ви запускаєте, ваше загальне місцезнаходження, а також дату та час, коли ви запустили програму.
Відсутність шифрування означає можливість перегляду: протокол OCSP не зашифрований. Apple не тільки отримує цю інформацію — будь-хто в середині також може побачити цю інформацію. Ваш постачальник інтернет-послуг, адміністратор мережі на робочому місці або навіть шпигунське агентство, що контролює інтернет-трафік, можуть підслуховувати трафік OSCP між вами та Apple і дізнаватися всі ці деталі. Ці запити також надходять через третю сторону мережа розповсюдження контенту (CDN) на ім’я Акамай. Це прискорює їх, але додає ще одного посередника, який може технічно підглядати.
Інформація: ваш Mac не повідомляє Apple, яку програму ви запускаєте. Натомість ваш Mac просто повідомляє Apple, який розробник створив програму, яку ви запускаєте. Звичайно, багато розробників просто створюють один додаток. Ця технічна відмінність часто мало що означає.
(Пам’ятайте: зі зміною поведінки кешування ваш Mac більше не запитує Apple щоразу, коли ви запускаєте програму. Це робиться лише кожні 12 годин, а не кожні 5 хвилин.)
Чому ваш Mac робить це?
Як ви могли очікувати, це все про безпеку. Mac є більш відкритою платформою, ніж iPad та iPhone. Ви можете завантажувати програми з будь-якого місця, навіть за межами Apple Mac App Store.
Щоб захистити Mac від зловмисного програмного забезпечення — і так, шкідливе програмне забезпечення Mac стало більш поширеним — Apple запровадила цю перевірку безпеки. Якщо сертифікат, який використовується для підписання програми, анульовано, ваш Mac може негайно почати дію та відмовитися відкривати цю програму. Це дає Apple можливість заборонити комп’ютерам Mac запускати відомі шкідливі програми.
Чи можете ви заблокувати перевірки OCSP?
Ці перевірки OCSP призначені для швидкого й безшумного збою, коли Mac перебуває в автономному режимі або не може зв’язатися з сервером ocsp.apple.com.
Завдяки цьому їх легко заблокувати: просто не дозволяйте вашому Mac підключатися до ocsp.apple.com. Наприклад, ви часто можете заблокувати цю адресу на своєму маршрутизаторі, не дозволяючи всім пристроям у вашій мережі підключатися до неї.
На жаль, схоже на Біг-Сур більше не дозволяє брандмауери програмного рівня на Mac блокують вбудований процес довіри Mac від доступу до таких віддалених серверів.
Попередження: якщо ви заблокуєте сервер ocsp.apple.com, ваш Mac не помітить, коли Apple відкликала сертифікат розробника програми. Ви вирішили вимкнути функцію безпеки, і це може поставити ваш Mac під загрозу.
Що Apple каже та обіцяє змінити?
Apple, схоже, почула критику. 16 листопада 2020 року компанія додала інформацію про «захист конфіденційності» для Gatekeeper на своєму веб-сайті.
По-перше, Apple каже, що ніколи не поєднувала дані з цих перевірок сертифікатів або шкідливого програмного забезпечення з будь-якими іншими даними, які Apple знає про вас. Компанія обіцяє, що не використовує цю інформацію для відстеження програм, які користувачі запускають на своїх комп’ютерах Mac.
По-друге, Apple наполягає, що ці перевірки сертифікатів не пов’язані з вашим Apple ID або будь-якою інформацією про пристрій, крім вашої IP-адреси. Apple каже, що припинила реєструвати IP-адреси, пов’язані з цими запитами, і видалить їх із журналів Apple.
Протягом наступного року — іншими словами, до кінця 2021 — Apple заявляє, що внесе такі зміни:
Замінити OCSP на зашифрований протокол: Apple заявляє, що створить новий зашифрований протокол, щоб замінити незашифровану систему OCSP для перевірки сертифікатів розробника. Це завадить нікому, хто знаходиться в середині, підглядати.
Зупиніть уповільнення: Apple також обіцяє «надійний захист від збою сервера» — іншими словами, програми не будуть повільно завантажуватися, оскільки сервер знову сповільнився.
Надайте вибір користувачам: Apple запевняє, що користувачі Mac зможуть вимкнути ці засоби захисту та запобігти перевірці свого Mac на наявність відкликаних сертифікатів розробника.
Загалом, ці зміни усунуть різні проблеми — треті сторони більше не можуть підглядати в середині. Комп’ютери Mac все одно надсилатимуть Apple інформацію, яку він може використовувати для відстеження програм, які ви відкриваєте, але Apple обіцяє не пов’язувати цю інформацію з вами. Уповільнення слід усунути, оскільки Apple також вирішує проблему продуктивності.
Яким буде цей кращий протокол? Що ж, Apple ще не сказала, чим вона замінить OCSP. Як дослідник безпеки Скотт Хельме нотатки, щось на зразок CRLite міг би допомогти заправити сюди голку. Уявіть, якби ваш Mac міг завантажити один файл з Apple і регулярно оновлювати його. Файл міститиме стиснений список усіх відкликаних сертифікатів. Щоразу, коли ви запускаєте програму, ваш Mac може перевірити файл, усуваючи перевірку мережі та проблеми з конфіденційністю.
Ваш Mac іноді надсилає хеші програми в Apple
До речі, ваш Mac іноді надсилає хеші програм, які ви відкриваєте, на сервери Apple. Це відрізняється від перевірки підпису OCSP. Натомість це пов’язано з Gatekeeper нотаріальне посвідчення.
Розробники можуть завантажувати програми в Apple, яка перевіряє їх на наявність шкідливих програм, а потім «нотаріально засвідчує», якщо вони здаються безпечними. Цю інформацію про нотаріальне засвідчення квитка можна «прикріпити» до програми. Якщо розробник не прикріпить інформацію про квиток до файлу програми, ваш Mac перевірить сервери Apple під час першого запуску цієї програми.
Це відбувається лише під час першого запуску певної версії програми, а не кожного разу, коли вона відкривається. А онлайн-перевірку розробник може усунути за допомогою сшивання.
Комп’ютери Mac тут не є унікальними. Наприклад, комп’ютери з Windows 10 часто завантажують дані про програми, які ви завантажуєте, до служби Microsoft SmartScreen для перевірки на наявність шкідливого програмного забезпечення. Антивірусні програми та інші програми безпеки також можуть завантажувати інформацію про підозрілі програми до охоронної компанії.