macOS Big Sur сообщает Apple, какое приложение вы открыли, не является проблемой безопасности или конфиденциальности

Еще до того, как Apple подтвердила, что Gatekeeper «звонит домой» не был связан с пользовательской информацией в воскресенье вечером, опасения по поводу конфиденциальности злоумышленников, теоретически отслеживающих запуск приложений с использованием этих данных, не являются проблемой, как предположил один исследователь. Вот почему.

В четверг пользователи macOS сообщили о проблемах при попытке обновить операционную систему до macOS Big Sur, в то время как у других были проблемы с запуском приложений даже без обновления. Было установлено, что проблема связана с сервером, причем проблема на стороне Apple не позволяет функции проверки сертификатов Apple работать должным образом.

Эту же услугу использовал исследователь безопасности Джеффри Пол, основатель консалтинговой фирмы по безопасности приложений и операционной безопасности. В обширной статье, написанной в четверг, Пол попытался привлечь внимание к предполагаемой проблеме конфиденциальности в macOS, а именно о том, что она, по-видимому, сообщает Apple, какие приложения открываются пользователем.

По словам Пола, связь Apple между Mac и конкретными серверами может быть связана с данными, поступающими с IP-адреса, таким образом, что это может создать массу метаданных о действиях пользователя. Это будет включать в себя, где они находятся и когда, а также сведения об их компьютере и используемом программном обеспечении.

Собирая эти данные с течением времени, можно предположить, что можно создать архив, который может быть легко добыт злоумышленниками, что дает значительные возможности для наблюдения за в массовом масштабе, возможно, до печально известной и ныне закрытой программы наблюдения PRISM.

Проблема в том, что это даже близко не так драматично, и даже близко не так плохо. И, если бы они были так склонны, интернет-провайдеры имели возможность собирать гораздо больше данных о пользователях при обычном использовании Интернета, чем Gatekeeper когда-либо передает.

Apple включает различные функции безопасности в свои операционные системы, и macOS не является исключением. Чтобы предотвратить возможное использование вредоносных программ в приложениях, Apple требует от разработчиков прохождения различных процессов, чтобы приложения работали в macOS.

Наряду с созданием сертификатов безопасности, которые могут помочь подтвердить, что приложение от разработчика авторизовано и подлинно, Apple также требует, чтобы приложения прошли процесс нотариального заверения. Зарегистрированные разработчики отправляют в Apple приложения, которые проверяются на наличие проблем с безопасностью и вредоносного кода, прежде чем получить разрешение от компании.

Apple представила процесс нотариального заверения разработчиков в 2018 году

Это означает, что приложения обычно защищены, подписываясь идентификатор разработчика, о котором Apple знает, а также проверяется самой Apple, прежде чем его можно будет запустить в самой macOS. Подписанные сертификаты безопасности идентифицируют создателя приложения как авторизованного, а нотариальное заверение сводит к минимуму вероятность того, что исполняемый файл приложения будет изменен на несут вредоносное ПО.

Сертификаты безопасности, применяемые к приложению или разработчику, могут быть отозваны в любое время, что позволяет быстро деактивировать приложения, которые, как известно, содержат вредоносное ПО или в какой-то мере стали мошенниками. Хотя в некоторых случаях это приводило к проблемам, например, к истечению срока действия сертификатов и сбоям приложений до тех пор, пока разработчики не обновят их с новой версией приложения, система в основном работает успешно.

Нарушение связи

Проблема здесь в том, как Gatekeeper, безопасность f Система, которая управляет этой формой безопасности, фактически выполняет эту задачу в первую очередь. В рамках этого процесса он связывается с респондентом Apple Online Certificate Status Protocol (OCSP), который подтверждает сертификаты для гейткипера.

Это взаимодействие включает отправку macOS хэша, уникального идентификатора программы, которую необходимо проверить.

Хеш — это известная строка символов, которая может быть создана с использованием алгоритма для блока данных, такого как документ или исполняемый файл. Это может быть эффективным способом подтверждения того, что файл был подвергнут вмешательству, поскольку хэш, сгенерированный из скорректированного файла, почти наверняка будет отличаться от ожидаемого результата хеширования, указывая на то, что что-то пошло не так.

Хэши создаются из файла приложения в macOS и отправляются в OCSP для проверки на соответствие хешу для приложения, о котором он знает. Затем OCSP отправляет обратно ответ, обычно на основании этого хэш-значения, является ли файл подлинным или каким-либо образом поврежден.

Сбой при запуске программного обеспечения в macOS или выполнении обновления был вызван тем, что OCSP был перегружен запросами, в результате чего он работал очень медленно и не предоставлял адекватные ответы взамен.

Создание хэша

Причины, по которым эти известные хэши эффективно передаются на страницу в Apple, что вы используете и когда. Кроме того, при сопоставлении с IP-адресом для базовой геолокации и подключении в той или иной форме к идентификатору пользователя, например Apple ID, это может позволить Apple «узнать, когда вы открываете Premiere в доме друга по их Wi-Fi», и они узнают, когда вы открываете Tor Browser в отеле во время поездки в другой город ».

Теоретические знания Apple — это одно, но Пейдж указывает, что эти хэши запросов OCSP передаются открыто и без шифрования.. Доступная для чтения любым, кто анализирует пакеты данных, эта информация может быть использована таким же образом интернет-провайдером или «любым, кто прослушивал их кабели» или имеет доступ к сторонней сети доставки контента, используемой Apple, для выполнения Мониторинг пользователей в стиле PRISM.

«Эти данные составляют огромный массив данных о вашей жизни и привычках и позволяют кому-то, кто владеет ими, определять ваши движения и модели активности», пишет Пейдж. «Для некоторых людей это может даже представлять физическую опасность».

Вероятно, кто-то может определить, какое приложение вы запускали в конкретное время, проанализировав хэш и имея в своем распоряжении достаточное количество хешей, чтобы выяснить, какой хеш означает . Специалистам по безопасности доступно множество инструментов для анализа хэшей, поэтому было бы разумно, если бы кто-то с достаточными ресурсами, хранилищем данных и вычислительными мощностями сделал то же самое.

Однако, реально говоря, не так уж много пользы от знания того, какое приложение запускается. И интернет-провайдеры могли бы иметь эти данные, если бы захотели, без ограниченной информации, которую может предоставить Apple Gatekeeper.

Для большинства этих хэшей он будет состоять из данных, в значительной степени непригодных для использования, даже если они поддаются идентификации, из-за универсальности или частого использования некоторых приложений. Не так много информации, которую вы могли бы собрать о пользователе, зная, что он запустил Safari или Chrome, поскольку хеш указывает на приложение, но не на то, на что он смотрит.

Сомнительно, что какое-либо национальное государство будет заботиться, если они увидят, что кто-то открывается Предварительный просмотр macOS 15 раз подряд. Конечно, есть крайние случаи, например, для приложений с очень специфическим использованием, которые могут быть интересны третьим сторонам, но их немного, и, вероятно, будет проще собирать данные с помощью других средств, чем подтверждать открытие приложения.

Вам не нужно смотреть на хеши, чтобы определить, что запускает целевой пользователь. Поскольку приложения, как правило, работают на определенных портах или диапазонах портов, любой, кто в той же позиции отслеживает пакеты данных, может аналогичным образом определить, какое приложение только что было запущено, проверив, к каким портам относятся данные.

Например, порт 80, как известно, используется для HTTP или вашего стандартного веб-трафика, а порт 1119 может использоваться Battle.net от Blizzard для игр. . Возможно, вы могли бы изменить порт, через который приложение обменивается данными, но на основе массового наблюдения его операторы будут искать порт 23399 как знак для звонков в Skype или 8337 для VMware.

Например, когда трафик от 1119 останавливается, тогда интернет-провайдер может определить, что вы закончили играть в Warcraft . Привратник этого не делает.

Конечно, теоретически здесь есть потенциал для шпионской программы в стиле PRISM со всеми данными ISP плюс мониторинг портов. Но для тех, кто хотел бы создать такую ​​штуку, от этого мало пользы.

«Пользователь 384K66478 открыл Runescape в 18:22», что является абсолютным максимумом того, что Gatekeeper может разоблачить, никому не поможет.

Это не совсем ново и не секрет

Стоит отметить, что этот потенциальный вариант использования данных не является недавней проблемой для пользователей Apple. Apple использует Gatekeeper для проверки сертификатов с серверным подтверждением с момента его первого внедрения в 2012 году, поэтому он действует уже довольно давно.

Если бы это была проблема конфиденциальности, которую сформулировал Пол — а это не так, — она ​​была бы проблемой уже несколько лет.

Система использования онлайн-серверов для подтверждения действительности приложения даже не ограничивается macOS, поскольку Apple использует аналогичный процесс проверки для экосистемы iOS. . Существуют даже корпоративные сертификаты безопасности, которые позволяют приложениям обходить правила Apple App Store в небольших количествах, но даже они могут быть отозваны аналогичным образом, как продемонстрировал Facebook в начале 2019 года.

У Microsoft есть собственный Device Guard, функции безопасности в Windows 10 для борьбы с вредоносными программами, которые используют преимущества подписи кода и отправки хэшей обратно в Microsoft, чтобы разрешить или запретить запуск приложений. Частично это влечет за собой связь с серверами, чтобы подтвердить, правильно ли подписаны приложения.

Пол также описывает эту функцию как в значительной степени секретную вещь, о которой пользователи не знают, что-то, что можно тайно использовать для отслеживания привычек использования. Однако, учитывая, что данные о пользователях собирают очень много компаний, таких как рекламные компании в Интернете и социальные сети, для большинства пользователей, вероятно, будет неудивительно, что рассылки в Apple происходят регулярно, особенно по соображениям безопасности.

Некорректный сбой и «неблокируемый» обмен сообщениями

Один из элементов, за который цепляется Пол, — это как Apple представляет в macOS Big Sur изменение, которое меняет работу системы. В предыдущих версиях macOS можно было блокировать запросы к OCSP от демона, которому доверяют, с помощью брандмауэра или с помощью VPN, что позволяло системе «молчать».

Система проверки хэша обычно отправляет хэш в OCSP и ожидает два ответа: подтверждение получения хеша, за которым следует второй, который либо утверждает, либо отклоняет хеш как настоящий. Если получено первое подтверждение, trustd будет сидеть и ждать второго ответа..

Проблема, которая разыгралась в четверг, была именно в этом сценарии, поскольку подтверждения были отправлены, а вторая часть — нет. Это приводило к тому, что приложения не запускались, поскольку предполагалось, что ожидается одобрение, но оно не пришло.

Привет, пользователи Apple:

Если вы сейчас испытываете зависание при запуске приложений на Mac, я решил проблему с помощью Little Snitch.

Это надежное подключение к https://t.co/FzIGwbGRan

Отказ от этого подключения исправляет это, потому что OCSP — это программный сбой.

(Отключение Интернета также исправляет.) pic.twitter.com/w9YciFltrb

— Джефф Джонсон (@lapcatsoftware) 12 ноября 2020 г.

Это играет роль в заявлении Пола, поскольку блокирование доступа к OCSP означает, что первоначальный запрос не может достичь сервера, то есть нет ни первоначального подтверждения, ни одобрения. Поскольку проблема заключается в первую очередь в получении подтверждения, блокировка доступа предотвращает отправку подтверждения с сервера, что устраняет проблему.

Элемент «fail quiet» полезен для пользователя, поскольку вся система позволяет приложению работать в любом случае, поскольку он не был проинформирован, казалось бы, в автономном режиме OCSP, и так далее в обычном режиме.

Имеется ссылка на принципиального исследователя безопасности Jamf Патрика Уордла, который определил, что Apple добавила trustd в ContentFilterExclusionList, список служб и других элементов, которые не могут блокироваться системными брандмауэрами или VPN. Поскольку его нельзя заблокировать, всегда будет выполняться попытка связаться с OCSP, а это означает, что Mac всегда будет звонить домой.

Конечно, это нельзя полностью разблокировать. Автономные компьютеры Mac не могут использовать средство безопасности, а для тех, кто находится в сети, есть возможность использовать правила фильтрации на домашнем маршрутизаторе или в корпоративной сети, чтобы заблокировать этот конкретный трафик, и есть возможные способы сделать аналогичную блокировку на ходу, используя туристический роутер.

Хеширование

Если бы все это всплыло примерно в то время, когда PRISM еще была вещь, о которой нужно беспокоиться, о ней стоит позаботиться больше. Больше данных для машины слежения, потребляющей метаданные, и больше информации о гражданах, которую правительства могут использовать.

Но, очевидно, это не так. Прошло время, PRISM больше нет, больше года его нет, и широкая общественность прекрасно осведомлена о том, что данные создаются каждый день на основе действий и действий людей. Пользователи утратили свою невиновность и больше не игнорируют ситуацию, в которой они оказались.

Возможно, имело смысл представить это как потенциальную утечку личных данных. несколько лет назад, но не сейчас.

Учитывая, что информация, по сути, представляет собой небольшую вероятность, что кто-то в Интернете в результате значительной работы определит, что кто-то открыл Safari в 47-й раз за день, и это похоже картошка. Добавьте к этому, что с помощью мониторинга портов интернет-провайдеры могут получить гораздо больше данных с меньшими усилиями, и эта картошка становится все мельче.

То, что вы можете получить гораздо лучшие и полезные данные с помощью других методов, делает это довольно приземленным по большому счету. Нет даже перспективы, что Apple возьмет Google и использует эти данные, поскольку Apple уже много лет является ярым защитником конфиденциальности пользователей, и вряд ли она пойдет на такой шаг.

Здесь не нужно вести, начинать или обострять битву за конфиденциальность.

Прозрачность лучше

В те два часа четверга, когда Привратник предотвращал некоторые пользователи не открывали некоторые приложения, Apple промолчала. Пока ничего не говорится о причине, о том, что произошло и почему.

Привратник, «звонящий домой» косвенно обсуждается в условиях обслуживания Apple, но, как и в большинстве случаев Что касается очевидных провалов, то в четверг он мог бы быть более прозрачным. Он мог бы сообщить пользователям, что он делает с хешами Gatekeeper, вместо того, чтобы заставлять нас гадать в то время, сохраняют ли они хеши или используют их и отбрасывают.

Это то, что Apple может легко сделать, учитывая, насколько она открыта в отношении других функций безопасности, которые она предлагает в своих продуктах. Вполне возможно, что Apple решит эту проблему таким же публично прозрачным образом, например, введя анонимный обмен данными в своем приложении для скрининга COVID-19.

Это может быть сложно, учитывая громкие мнения, намекающие, что это может быть частью системы, подобной PRISM, но это возможно. Apple просто нужно выложить это для публики и заверить, что ничего плохого не происходит — и через несколько часов после первой публикации этой статьи она сделала именно это.

Обсуждение этого вопроса Apple

Поздно в воскресенье Apple опубликовала документ о системе. В частности, в нем говорится, что хэши приложений связаны разработчиком и никогда не связаны с учетной записью iCloud или другой идентифицирующей информацией.

«Gatekeeper работает в режиме онлайн. проверяет, содержит ли приложение известное вредоносное ПО и не отозван ли сертификат подписи разработчика », — говорится в документе поддержки. «Мы никогда не объединяли данные этих проверок с информацией о пользователях Apple или их устройствах. Мы не используем данные этих проверок, чтобы узнать, что отдельные пользователи запускают или запускают на своих устройствах.

Хотя кажется, что он мог регистрировать IP-адреса, компания также заявляет, что прекратит это делать и удалит их из журналов в будущем..

«Эти проверки безопасности никогда не включали Apple ID пользователя или идентификацию его устройства», — говорит Apple. «Чтобы еще больше защитить конфиденциальность, мы прекратили регистрацию IP-адресов, связанных с проверками сертификатов Developer ID, и гарантируем, что все собранные IP-адреса будут удалены из журналов».

Чтобы это не повторилось, у Apple есть план на следующий год. Apple планирует три действия, чтобы предоставить пользователю больший контроль и еще больше обезопасить процесс.

Улучшения процесса проверки сертификатов Apple запланированы на следующий год

  • Новый зашифрованный протокол для проверки отзыва сертификата Developer ID
  • Надежная защита от сбоя сервера
  • Новое предпочтение для пользователей отказаться от этих средств защиты

Обновление 15 ноября, 10:54 PM ET с планами Apple и подробностями о том, что компания делает с информацией о привратнике.

Оцените статью
futurei.ru
Добавить комментарий