Opravdu váš Mac telefonuje domů Apple pokaždé, když spustíte aplikaci? To je obvinění, které koluje po 12. říjnu 2020, kdy se server Apple zpomalil a moderním počítačům Mac trvalo dlouho, než otevíraly aplikace. Vysvětlíme, co se děje.
Informace: Toto platí pro macOS Big Sur i macOS Catalina. Zpomalení a související obavy o soukromí nejsou v macOS Big Sur novinkou.
Table of Contents
Proč jsou aplikace pro Mac podepisovány certifikáty vývojáře
Na Macu jsou aplikace, které si stáhnete – ať už z Mac App Store nebo z webu – podepsány certifikátem vývojáře. Kdykoli spustíte aplikaci, zkontroluje aplikaci, aby ověřila, že byla podepsána legitimním vývojářem a že s ní nebylo manipulováno. Pomáhá vás to chránit před malwarem.
Když například Mozilla vytvoří Firefox, zkompiluje soubor aplikace Firefox a poté jej podepíše vývojářským certifikátem Mozilly. Toto je způsob, jak Mozilla prokázat, že soubor je legitimní a vytvořený Mozillou. Pokud je se souborem aplikace později manipulováno, váš Mac si všimne rozdílu.
Tyto certifikáty jsou platné pouze po určitou dobu – možná několik let – ale mohou být předčasně „zrušeny“. Pokud například Apple zjistí, že vývojář používá jeho certifikát k podepisování škodlivých aplikací, Apple poté certifikát odvolá. Macy nenačtou aplikace s tímto zrušeným certifikátem.
Vysvětlení OCSP: Proč je váš telefon Mac doma?
Ale počkejte – jak váš Mac pozná, že Apple odvolal certifikát spojený s aplikací na vašem Macu? Chcete-li to zkontrolovat, váš Mac používá něco, co se nazývá Online Certificate Status Protocol nebo OCSP; také jej používají webové prohlížeče ke kontrole certifikátů webových stránek při procházení.
Když spustíte aplikaci, váš Mac odešle informace o svém certifikátu na server Apple na ocsp.apple.com. Váš Mac se zeptá tohoto serveru Apple, zda byl certifikát odvolán. Pokud ne, váš Mac aplikaci spustí. Pokud byl certifikát odvolán, váš Mac aplikaci nespustí.
Stává se to pokaždé, když spustíte aplikaci?
Váš Mac si tyto odpovědi po určitou dobu pamatuje. 12. listopadu 2020 byly odpovědi uloženy do mezipaměti po dobu pěti minut; jinými slovy, pokud byste spustili aplikaci, zavřeli ji a spustili znovu o čtyři minuty později, váš Mac by se nemusel Apple podruhé ptát na certifikát. Pokud byste však spustili aplikaci, zavřeli ji a spustili o šest minut později, váš Mac by se musel znovu zeptat serverů Apple.
Z jakéhokoli důvodu – možná kvůli změnám v macOS Big Sur – byl server Apple zaplaven a 12. listopadu 2020 se velmi zpomalil. Odezvy se značně zpomalily a aplikace se načítaly dlouho, protože Macy trpělivě čekaly na reakci pomalého server.
Po této události server OSCP společnosti Apple nyní říká počítačům Mac, aby si pamatovali odpovědi na platnost certifikátu po dobu 12 hodin. Váš Mac zavolá domů a zeptá se na certifikát pokaždé, když spustíte aplikaci – pokud jste během posledních 12 hodin neobdrželi odpověď, v tom případě to nebude nutné. (Informace o časových obdobích zde pocházejí od nezávislého vývojáře aplikací Jeff Johnson.)
Co když je Mac offline?
Kontrola OCSP je navržena tak, aby selhala s grácií. Pokud jste offline, váš Mac tiše přeskočí kontrolu a spustí aplikace normálně.
Totéž platí, pokud váš Mac nemůže dosáhnout serveru ocsp.apple.com – možná proto, že adresa serveru byla ve vaší síti zablokována na úrovni routeru. Pokud váš Mac nemůže kontaktovat server, přeskočí kontrolu a okamžitě spustí aplikaci.
Problém 12. listopadu 2020 byl v tom, že zatímco počítače Mac se mohly dostat na server společnosti Apple, samotný server byl pomalý. Než však tiše selhaly a pokračovaly ve spuštění aplikace, Macy čekaly na odpověď dlouho. Kdyby byl server úplně mimo provoz, nikdo by si toho nevšiml.
Jaké je riziko ochrany osobních údajů? Co se Apple učí?
Existuje několik obav o soukromí, které zde lidé vyvolali. Jsou uvedeny v hacker a bezpečnostní výzkumník Jeffrey Paulův bouřlivý pohled na situaci.
Certifikáty jsou spojeny s aplikacemi: Když váš Mac kontaktuje server OCSP, zeptá se na certifikát, který je pravděpodobně spojen s jednou aplikací – nebo možná s několika aplikacemi. Technicky vzato, váš Mac Apple neříká, kterou aplikaci jste spustili. Pokud například spustíte Firefox, Apple se právě dozví, že jste spustili aplikaci vytvořenou Mozillou. Může to být Firefox nebo Thunderbird, ale Apple neví, který. Pokud však spustíte aplikaci podepsanou Tor Project, Apple může získat docela dobrou představu, že jste otevřeli Tor Browser.
Požadavky jsou spojeny s IP adresami a časy: Tyto požadavky mohou být samozřejmě spojeny s datem a časem a vaší IP adresou. Tak prostě internet funguje. Vaše IP adresa je spojena s určitým městem a státem. Každý požadavek OCSP sděluje společnosti Apple vývojáře, který vytvořil aplikaci, kterou spouštíte, vaši obecnou polohu a datum a čas, kdy jste aplikaci spustili.
Nedostatek šifrování znamená, že je možné snooping: Protokol OCSP je nešifrovaný. Nejenže Apple tyto informace získá, ale také je uvidí kdokoli uprostřed. Váš poskytovatel internetových služeb, správce sítě na pracovišti nebo dokonce špionážní agentura monitorující internetový provoz by mohli odposlouchávat provoz OSCP mezi vámi a Apple a dozvědět se všechny tyto podrobnosti. Tyto požadavky také procházejí třetí stranou obsahová distribuční síť (CDN) jménem Akamai. To je zrychlí – ale přidá další prostředník, který by mohl technicky slídit.
Info: Váš Mac Apple neříká, kterou aplikaci spouštíte. Místo toho váš Mac jen říká Applu, který vývojář vytvořil aplikaci, kterou spouštíte. Mnoho vývojářů samozřejmě vytváří pouze jednu aplikaci. Tento technický rozdíl často mnoho neznamená.
(Pamatujte si: Díky změně chování ukládání do mezipaměti se váš Mac již nebude ptát Apple při každém spuštění aplikace. Dělá to pouze každých 12 hodin místo každých 5 minut.)
Proč to váš Mac dělá?
Jak můžete očekávat, je to všechno o bezpečnosti. Mac je otevřenější platforma než iPad a iPhone. Aplikace si můžete stahovat odkudkoli, dokonce i mimo Apple Mac App Store.
Aby Apple chránil Mac před malwarem – a ano, malware Mac se stal běžnějším – implementoval tuto kontrolu zabezpečení. Pokud je certifikát použitý k podpisu aplikace zrušen, váš Mac může okamžitě začít jednat a odmítnout tuto aplikaci otevřít. To dává společnosti Apple moc zabránit počítačům Mac ve spouštění známých škodlivých aplikací.
Můžete blokovat kontroly OCSP?
Tyto kontroly OCSP jsou navrženy tak, aby rychle a tiše selhaly, když je Mac offline nebo nemůže kontaktovat server ocsp.apple.com.
Díky tomu je lze snadno zablokovat: Zabraňte Macu v připojení k ocsp.apple.com. Tuto adresu můžete například často zablokovat na svém routeru a zabránit tak připojení všech zařízení ve vaší síti.
Bohužel to vypadá jako Big Sur už nedovolí firewally na softwarové úrovni na Macu blokují vestavěný důvěryhodný proces Macu v přístupu ke vzdáleným serverům, jako je tento.
Upozornění: Pokud zablokujete server ocsp.apple.com, váš Mac si nevšimne, že Apple zrušil certifikát vývojáře aplikace. Rozhodli jste se zakázat funkci zabezpečení, což by mohlo ohrozit váš Mac.
Co říká Apple a slibuje změnu?
Zdá se, že Apple kritiku vyslyšel. Dne 16. listopadu 2020 společnost doplnila informace o „ochrany soukromí“ pro Gatekeeper na jeho webových stránkách.
Za prvé, Apple říká, že nikdy nekombinoval data z těchto kontrol certifikátů nebo malwaru s jinými daty, které o vás Apple ví. Společnost slibuje, že tyto informace nepoužije ke sledování aplikací, které jednotlivci spouštějí na svých počítačích Mac.
Zadruhé, Apple trvá na tom, že tyto kontroly certifikátů nejsou spojeny s vaším Apple ID nebo jakýmikoli informacemi o konkrétním zařízení mimo vaši IP adresu. Apple říká, že přestal protokolovat IP adresy spojené s těmito požadavky a bude je odstraňovat z protokolů Apple.
Během příštího roku – jinými slovy, do konce roku 2021 – Apple říká, že provede tyto změny:
Nahraďte OCSP šifrovaným protokolem: Apple říká, že vytvoří nový šifrovaný protokol, který nahradí nešifrovaný systém OCSP pro kontrolu vývojářských certifikátů. Tím zabráníte tomu, aby kdokoli uprostřed šmíroval.
Stop the Slowdowns: Apple také slibuje „silnou ochranu proti selhání serveru“ – jinými slovy, aplikace se nebudou načítat pomalu, protože se server znovu zpomalil.
Poskytněte uživatelům výběr: Apple říká, že uživatelé počítačů Mac budou moci tyto bezpečnostní ochrany vypnout a zabránit jejich Macu v kontrole zrušených vývojářských certifikátů.
Celkově tyto změny odstraní různé problémy – třetí strany již nemohou šmírovat uprostřed. Počítače Mac budou společnosti Apple stále posílat informace, které může použít ke sledování aplikací, které otevíráte, ale společnost Apple slibuje, že s vámi tyto informace nespojí. Zpomalení by měla být odstraněna, protože Apple také řeší problém s výkonem.
Jaký bude tento lepší protokol? No, Apple zatím neřekl, čím nahradí OCSP. Jako bezpečnostní výzkumník Scott Helme poznámky, něco jako CRLite mohl by pomoci navléknout jehlu sem. Představte si, že by si váš Mac mohl stáhnout jeden soubor od Applu a pravidelně jej aktualizovat. Soubor by obsahoval komprimovaný seznam všech odvolání certifikátů. Kdykoli spustíte aplikaci, váš Mac může zkontrolovat soubor, čímž se eliminují kontroly sítě a problémy s ochranou soukromí.
Váš Mac někdy odesílá hodnoty hash aplikací společnosti Apple
Mimochodem, váš Mac někdy odesílá hash aplikací, které otevíráte, na servery Apple. To se liší od kontrol podpisů OCSP. Místo toho to má co do činění s Gatekeeperem notářské ověření.
Vývojáři mohou nahrát aplikace do Applu, který v nich zkontroluje, zda neobsahují malware, a poté je „notářsky označí“, pokud se zdají být bezpečné. Tyto informace o notářském lístku lze „připevnit“ k aplikaci. Pokud vývojář nepřipojí informace o lístku do souboru aplikace, váš Mac to při prvním spuštění aplikace zkontroluje na serverech společnosti Apple.
K tomu dochází pouze při prvním spuštění dané verze aplikace – ne pokaždé, když se otevře. A online kontrolu může vývojář eliminovat sešíváním.
Macy zde nejsou jedinečné. Počítače s Windows 10 například často nahrávají data o aplikacích, které stahujete do služby SmartScreen společnosti Microsoft, abyste zkontrolovali přítomnost malwaru. Antivirové programy a další bezpečnostní aplikace mohou také nahrát bezpečnostní společnosti informace o podezřele vypadajících aplikacích.