安全警告:Mac“打电话回家”未加密以公证应用程序
自 macOS Catalina 以来,Apple 已对所有应用程序进行了公证。这意味着该公司会检查该应用程序是否未执行任何恶意代码。这是一个重要的过程,但有时会导致问题。
周五晚上,Apple 的一些服务器发生罢工,并发布了更新到 macOS Big Sur 很困难。 OCSP 服务器尤其引起了问题——它负责在线证书状态协议,该协议对应用程序进行公证,从而确定其合法性。因此,当 Mac 连接到互联网时,某些应用程序将不再启动。
安全研究员杰弗里·保罗 采取了借此机会指出,Mac 有时”打电话回家”未加密,这意味着提供商甚至军方都可以读取公证处和 Mac 之间的流量。
计算机发送到公证服务器的未加密日志包括连接日期和时间、IP 地址、设备类型以及所检查应用程序的哈希值(校验和)。即使是这些基本数据,组合起来也可以得出有关单个用户及其习惯的各种结论。
例如,通过 IP 地址,您可以或多或少准确地猜测位置;通过程序的校验和,您可以轻松确定用户在 Mac 上打开的具体内容。
杰弗里·保罗 (Jeffrey Paul) 声称苹果将应用程序哈希发送到自己的服务器,但引起了米兰大学 Jacopo Jannone 的回应,他评论道 在他的博客中表示 Paul 的分析”不太准确”。他利用Little Snitch截取了Firefox启动时OCSP服务器上的数据,仔细一看:虽然传输了哈希信息,但它并不能用来识别应用程序,而是可以用来识别属于该应用程序的开发者证书。这些证书并不总是表明正在使用的特定应用程序;开发者可以多次使用该证书。
在其支持文档中 在 Mac 上安全打开应用 ,苹果现在明确表示,Apple ID 或设备的身份永远不会被转移。不过,该公司现已停止记录属于开发者证书的 IP 地址;作为旧日志,这些数据现在也将被删除。
苹果还承诺,未来应用程序将以加密形式与公证服务器进行检查,并且这种连接将受到保护,防止服务器故障。未来,苹果还希望在系统设置中为用户提供完全停用公证检查的选项。
阅读我们的Mac 安全提示 获取更一般的建议。
本文最初发表于 麦克韦尔特。大卫·普莱斯翻译。