Як Apple збирає ваші дані у macOS Big Sur
У п’ятницю дослідник безпеки Джеффрі Пол опублікував різку статтю щодо нещодавнього сніфу, присвяченого безпеці компанії Big Sur. Після того, як Apple випустила свою нову ОС у четвер, користувачі Mac почали повідомляти про проблеми із запуском нових додатків з локальних ПК. Початкове розслідування показало, що причиною проблеми було з'єднання, ініційоване пристроями кінцевих користувачів під час запуску програм.
Під час запуску програми намагалися підключитися до ocsp.apple.com для автентифікації. Хоча цей процес повинен вийти з ладу і дозволити запуск програми, якщо сервери недоступні, сервери OSCP були доступні - просто працювали повільно. Це призвело до того, що комп’ютери деяких користувачів зависали протягом декількох хвилин, очікуючи автентифікації додатків перед запуском цільової програми.
На Big Sur trustd знаходиться в "ContentFilterExclusionList" від Apple .... Значущі брандмауери не можуть його заблокувати! 😭
Ласкаво просимо в майбутнє? 😱 https://t.co/8PkmWkcZDS pic.twitter.com/ypYxLRGULn
- Патрік Уордл (@patrickwardle) 12 листопада 2020 р
Дані, зібрані під час відключення та передані в Інтернеті, вказували на декілька ключових характеристик: Проблеми почалися після випуску Big Sur, і системи поводились би та запускали програми нормально, якщо їхній доступ до Інтернету був відключений. Потім, у п’ятницю, стаття Павла потрапила. Під назвою «Ваш комп’ютер - це не ваш», він викладає деякі засуджуючі твердження щодо Apple - а саме: компанія реєструє кожну програму, яку ви запускаєте, кожен раз, коли ви її запускаєте, і що вона надсилає ці дані безпосередньо Apple через незашифрований з'єднання http (без https).
Він пише:
Це означає, що Apple знає, коли ви вдома. Коли ти на роботі. Які програми ви відкриваєте там і як часто. Вони знають, коли ви відкриваєте Premiere у будинку друга за їхнім Wi-Fi, і вони знають, коли ви відкриваєте Tor Browser в готелі під час поїздки в інше місто.
Він також зазначає, що передачі надсилаються у відкритому тексті і що вони проходять через Akamai, сторонній CDN. Apple, звичайно, є партнером США за допомогою таких програм, як PRISM, хоча, чесно кажучи, і всі інші. Потім він обговорює той факт, що всю цю передачу даних набагато важче заблокувати під Big Sur, ніж під попередніми версіями macOS від Apple, що майбутній чіп M1 компанії не буде працювати з альтернативними операційними системами, і що все це являє собою гігантську землю -граб від Apple, як з точки зору того, що він записує про ваші приватні звички, так і що він представляє, наскільки компанія вирішує, що ви можете, а що не можете запускати.
Це досить осудні твердження. Італійський дослідник безпеки на ім'я Якопо Янноне ознайомився із твердженнями Пола і повернувся з більш точним зображенням ситуації. За його словами, те, що macOS підключається до Інтернету для передачі, не є хешем кожного окремого додатка, який ви запускаєте. Він передає інформацію про сертифікат розробника - і кілька програм, розроблених однією компанією, підписуються одним сертифікатом. Подумайте про це як про те, що "Apple знає, що ви працюєте з Firefox", а більше як про "Apple знає, що ви використовуєте програмне забезпечення, сертифіковане Mozilla".
Чи буде ця відмінність важливою для вас, буде залежати від того, наскільки вам комфортно, скільки даних наші пристрої регулярно діляться корпораціями, які пишуть програмне забезпечення, яке працює на них. Об'єктивно кажучи, більша частина критики Пола є правильною, навіть якщо він невірний щодо кута "Apple отримує хеш кожного запущеного вами додатка". Це правда, що Apple блокує свою екосистему за допомогою M1, відступаючи від крос-сумісності з точки зору підтримки ОС, і що Big Sur може обійти будь-які обмеження брандмауера, які намагається створити кінцевий користувач.
Microsoft робить щось дуже подібне з Windows 10. Компанія застосовує кілька різних захисних стратегій для захисту користувачів від потенційно шкідливого програмного забезпечення, включаючи попередження кінцевого користувача перед тим, як дозволити їм запускати посилання з неперевірених місць. Apple також вимагає, щоб усі розробники, включаючи тих, хто розповсюджує програми в Інтернеті, мали нотаріально засвідчувати свої програми. Додатки, які не авторизовані, за замовчуванням не запускатимуться. Обговорення епохи Каталіни щодо дозволів додатків Mac свідчать про те, що не завірені нотаріально додатки все ще можна запускати, вони просто не запускатимуться за замовчуванням, і що це більше спроба допомогти кінцевим користувачам уникнути шкідливого програмного забезпечення, ніж спроба контролювати ПК.
Не завжди легко відокремити мотиви отримання прибутку від цілей безпеки. Apple представила свій чіп T2 користувачам як найкраще рішення щодо безпеки в порівнянні зі звичайними ПК. Це може бути так - але це також інструмент, який Apple може використовувати для блокування ремонту сторонніх виробників. Перевірка сертифікатів та нотаріальне посвідчення додатків можуть захистити від деяких (хоча, звичайно, не всіх) векторів загроз. Чи є це гарною ідеєю для розробників ОС вставляти онлайн-перевірки та перевірки в процес? (Якопо стверджує, що Apple уникає використання https для цієї періодичної перевірки хешу, щоб уникнути циклів, наприклад.) Я не впевнений.
На момент написання статті деякі речі здаються зрозумілими. По-перше, Apple буквально не надсилає хеш ваших програм на свої сервери. По-друге, компанії потрібно вирішити цю проблему безвідмовної роботи, яка спричинила проблему. Важкий тайм-аут через короткий проміжок часу це зробив би. По-третє, ми продовжуємо бачити компанії, які використовують більше споживчих даних, стверджуючи, що це для нашого блага, і лише пізніше ми виявляємо, що були деякі колосальні небажані побічні ефекти. Apple не збиралася спричиняти цю проблему через систему перевірки програмного забезпечення. Це все-таки відбулося. По-четверте, компанія Big Sur від Apple робить подальші кроки до обмеження власних можливостей керувати своїм ПК. Microsoft випустила деякі з них із Windows 10, і ми не можемо сказати, що раді, що вони надходять до Apple. По-п'яте, контроль над власною екосистемою займав центральне місце в ДНК Apple протягом усього існування компанії.
Зрештою, те, що тут сталося, лежить десь між "серйозним захопленням землі" і "нічим не дбати". Apple внесла зміни в те, як працюють її операційні системи, і деякі з цих змін викликають занепокоєння в базі користувачів. Перебравши їх на стороні Windows 10, я розумію, чому Пол невдоволений думкою про необхідність використання зовнішнього маршрутизатора для блокування трафіку з ПК. Навіть якщо ці зміни внесені з доброякісних причин, вони не відчувають себе доброякісними. На жаль, окрім стереотипного «використання Linux», я не маю чудового рішення, щоб запропонувати. У Microsoft виникають одні й ті ж проблеми. Джеффрі Пол може не мати рації щодо особливостей того, що Apple відстежує з цією інформацією, але він не помиляється щодо постійної шкоди нашому колективному почуттю власності. Якщо ви купуєте ПК у Apple або Microsoft у 2020 році, ви маєте менший контроль над ним, ніж у 2000 або 1990 роках.
Читати далі
Зразок астероїда OSIRIS-REx НАСА просочується у космос
NASA повідомляє, що зонд схопив з астероїда стільки реголіту, що він витікає з колектора. Зараз команда працює над тим, щоб визначити, як найкраще уберегти дорогоцінний вантаж від втечі.
Зонд NASA зберігає величезний зразок астероїда для повернення на Землю
Після недавньої успішної операції touch and go, NASA повідомило, що значний зразок астероїда зараз заблокований у контейнері для повернення зразків зонда.
Micron оголошує про 176-шаровий NAND, обсяги поставок в даний час
Micron оголосив сьогодні про 176-шаровий NAND, що є вражаючим кроком вперед для галузі.
Новий SoC від M1 від Apple виглядає чудово, він не швидший за 98 відсотків ноутбуків для ПК
Новий кремній M1 від Apple справді виглядає приголомшливо, але це не швидше 98 відсотків проданих ПК минулого року, незважаючи на те, що заявляє компанія.