Mac os шпионит за пользователями

Apple обвиняют в новой слежке за пользователями с обновлением Big Sur. Главное

На прошлой неделе у множества пользователей Mac возникли проблемы с открытием приложений. Причина, похоже, в протоколах безопасности Apple. Именно они отвечают за проверку надежности источников программного обеспечения. Замедление работы Mac стало поводом для новой критики Apple — на сей раз за сбор слишком большого количества информации о действиях пользователей. На эту критику компания теперь ответила обещанием об изменении, но сохранении этих протоколов безопасности в будущем. Так сколько информации Apple получает от пользователей? И почему некоторые эксперты уверены, что обновление macOS Big Sur радикально изменило ситуацию с конфиденциальностью?

Читайте «Хайтек» в

С чего все началось?

Эта история началась еще 12 ноября, когда огромное число пользователей Mac сообщило о сбоях при открытии сторонних приложений. Проблема распространилась и на собственные платформы Apple, такие как iMessage и Apple Pay, которые работали хаотично в течение короткого периода времени. Оказалось, проблема была вызвана Gatekeeper, системой безопасности, которую Apple представила еще в Mountain Lion. Это операционная система для персональных компьютеров и серверов, разработанная Apple; девятая по счету версия OS X.

По сути, если ваш Mac подключен к интернету, Gatekeeper проверяет, безопасно ли запускать какое-либо программное обеспечение. Скажем, вы нажимаете кнопку «Запустить» в Photoshop, и ваш компьютер проверяет связь с сервером Apple, чтобы убедиться, что Adobe все еще имеет действующий сертификат разработчика. Этот процесс обычно быстр и невидим для пользователей. Но огромное количество людей, обновляющихся до macOS Big Sur, перегрузило систему и замедлило ее.

Исследователи, заинтересованные в причине замедления, начали анализировать данные, которые их компьютеры отправляли на серверы Apple. Они утверждали, что операционная система отправляла в Apple HQ подробные сведения в виде простого текста о том, что, когда и как именно вы использовали. Это, естественно, вызывало панику у пользователей.

«Ваш компьютер больше не ваш»

В сообщении блога, озаглавленном «Ваш компьютер не ваш», исследователь безопасности Джеффри Пол заявил, что Apple собирает хэш (уникальный идентификатор) каждой программы, запущенной пользователем Mac, вместе с их IP-адресом через незашифрованное соединение. Конечный результат, писал Пол, заключается в том, что любой, кто использует современную версию macOS, не может ничего сделать без «передачи и сохранения журнала [их] активности».

«В современных версиях macOS вы просто не можете включить компьютер, запустить текстовый редактор или программу для чтения электронных книг, писать или читать сообщения без передачи и сохранения журнала ваших действий», — заявил Джеффри Пол.

Поскольку Мас проводит операции по сети, сервер, конечно же, видит ваш IP-адрес и знает, в какое время пришел запрос, уверяет эксперт по безопасности.

«Apple знает, когда вы дома, когда вы на работе, какие приложения вы открываете и как часто. Они знают, когда вы открываете Premiere в доме друга по их Wi-Fi, и они знают, когда вы открываете Tor Browser в отеле во время поездки в другой город».

И дело не только только в Apple. Информация идет дальше, подчеркивает эксперт, и это — большая проблема. И вот почему.

• Запросы OCSP передаются в незашифрованном виде.
• С октября 2012 года Apple является партнером американской военной разведки в программе шпионажа PRISM, которая предоставляет федеральной полиции и вооруженным силам США беспрепятственный доступ к этим данным без ордера, когда они об этом просят. В первой половине 2019 года это произошло более 18 000 раз, а во второй половине 2019 года — еще 17 500 раз.
• Эти данные составляют огромное количество данных о вашей жизни и привычках и позволяют кому-то, кто владеет ими, выявлять ваши движения и модели активности. Для некоторых людей это может даже представлять физическую опасность.

Как отмечает Джеффри Пол, до прошлой недели было возможно заблокировать сбор данных Mac с помощью программы под названием Little Snitch. Выпущенная версия macOS 11.0, также известная как Big Sur, имеет новые API, которые не позволяют Little Snitch работать должным образом, а именно проверять или блокировать любые процессы на уровне ОС. Кроме того, новые правила в macOS 11 затрудняют работу VPN, так что приложения Apple просто обходят их.

Не все так плохо?

Однако не все согласились с анализом Джффри Пола. В сообщении блога студента факультета кибербезопасности Якопо Янноне отмечается, что данные, отправленные на сервер Apple OCSP, содержат информацию, относящуюся к разработчику приложения, но не к самому приложению. Он добавляет, что служба Apple Gatekeeper может отправлять хэш исполняемого файла, но отдельно от OCSP и через зашифрованное соединение. На собственной странице поддержки Apple отмечается, что Gatekeeper использует «зашифрованное соединение, устойчивое к сбоям сервера».

Как отреагировал Apple?

Компания Apple была вынуждена уточнить, как работает ее платформа защиты от вредоносных программ Gatekeeper после того, как исследователи безопасности предположили, что система нарушает конфиденциальность.

Представитель Apple сообщил iPhone in Canada Blog, что компания обновила вспомогательную документацию. Цель — объяснить, что система не отслеживает то, что делают ее пользователи. В то же время Apple заявила, что изменит работу Gatekeeper в будущем, чтобы «минимизировать будущие риски».

«Gatekeeper выполняет онлайн-проверки, чтобы проверить, содержит ли приложение известное вредоносное ПО и отозван ли сертификат подписи разработчика, — поясняет Apple. — Мы никогда не объединяли данные этих проверок с информацией о пользователях Apple или их устройствах. Мы не используем данные этих проверок, чтобы узнать, что отдельные пользователи запускают или запускают на своих устройствах», — сказали в компании.

Вдобавок к этому Apple заявляет, что «в течение следующего года мы внесем несколько изменений в наши проверки безопасности», а именно:

• новый зашифрованный протокол для проверки отзыва сертификата Developer ID;
• надежная защита от сбоя сервера;
• новое предпочтение для пользователей отказаться от этих средств защиты.

Apple также предоставила iPhone in Canada Blog дополнительную техническую информацию о ситуации . Проверки отзыва сертификатов выполняются, чтобы убедиться, что сертификаты Developer ID, используемые для подписи приложения, не были отозваны компанией. Этот шаг имеет решающее значение для безопасности. Дело в том, что если разработчик подозревает, что сертификат был скомпрометирован третьими сторонами или используется для подписи вредоносных приложений, он может быть изъят.

MacOS использует стандартный протокол состояния сетевого сертификата (OCSP) для проверки того, что сертификат подписи кода разработчика, выданный разработчику приложения, не отозван. Этот запрос OCSP не включает Apple ID пользователя и не раскрывает запускаемое устройство или приложение.

Протокол состояния сетевого сертификата — это интернет-протокол, используемый для получения статуса отзыва цифрового сертификата X.509. Механизм протокола описан в RFC 6960 и является одним из «стандартов интернета».

В Apple отметили: поскольку OCSP используется для проверки других сертификатов, включая те, которые используются для зашифрованных веб-соединений, эти запросы выполняются по незашифрованному протоколу HTTP, что является «стандартом для всей отрасли».

HTTP используется для предотвращения ситуаций, когда проверка действительности сертификата, который защищает соединение с сервером OCSP, потенциально может зависеть от результата запроса к тому же серверу OCSP. Это создает цикл, который делает невозможным разрешение запроса.

Apple заявляет, что в macOS Catalina и более поздних версиях по умолчанию все запущенные приложения нотариально заверяются компанией. Они проверены Apple на наличие известного вредоносного программного обеспечения. Когда приложение запускается, macOS проверяет, не было ли приложение помечено Apple как вредоносное с момента его первого нотариального заверения. Эти проверки происходят через зашифрованное соединение и устойчивы к сбоям сервера. Именно это произошло на днях, когда пользователи заметили, что их приложения зависают и запускаются бесконечно долго.

Что вызвало проблему с сервером OCSP?

Apple утверждает, что это произошло из-за неправильной конфигурации на стороне сервера. Она специально препятствовала тому, чтобы macOS могла кэшировать ответы OCSP для идентификации разработчика. Это плюс неправильная конфигурация несвязанной сети доставки контента (CDN) и является причиной низкой производительности приложений при запуске.

Apple объяснила, что уже устранила эту проблему с производительностью с помощью обновления на стороне сервера. Пользователям macOS не нужно ничего делать, чтобы воспользоваться этим обновлением.

Нотариальные проверки приложений используются для подтверждения того, что приложения, запускаемые в macOS, не были признаны Apple вредоносными, поскольку они были впервые нотариально заверены. Компания заявляет, что эти проверки происходят через зашифрованное соединение и неуязвимы для сбоев сервера. На нотариальные проверки не повлияла проблема на стороне сервера, из-за которой запросы OCSP не выполнялись.

Источник

Apple уличили в невероятной по масштабам слежке за пользователями

Apple годами собирала IP-адреса пользователей и знала, какие приложения и когда запускались на MacBook. Проблему обнаружили в macOS Big Sur, но позже выяснилось, что она берет свое начало в macOS Mojave двухлетней давности. Кроме того, ее фирменные программы научились обходить брандмауэры и VPN, и пользователь никак не может на это повлиять.

Шпионская macOS

Компания Apple наладила массовую слежку за владельцами компьютеров и ноутбуков Mac, обновивших macOS на них до версии Big Sur. Ее распространение началось в середине ноября 2020 г.

По данным специалиста в области информационной безопасности Джеффри Пола (Jeffrey Paul), Apple следит чуть ли не за каждым действием пользователя, выполняемым им на компьютере под управлением новой macOS. Система отправляет на серверы компании специальные идентификаторы каждой программы, которую запускает владелец ПК, притом делает она это по обычному протоколу HTTP, даже не HTTPS.

Система может пересылать Apple и другие данные – дату и время открытия программ, IP-адрес компьютера и др., и уже только эти данные позволяют при необходимости вычислить местоположение каждого конкретного пользователя.

Одной Big Sur дело не обошлось

Джеффри Пол копнул еще глубже и выяснил, что за пользователями в той или иной степени следят все современные версии macOS, начиная с 10.14 Mojave, а она вышла еще в сентябре 2018 г. Другими словами, Apple собирает пользовательские данные на протяжении более двух лет.

Сбор и отправку информации macOS ведет в фоновом режиме, так что пользователь ничего не замечает. За шпионаж отвечает служба Gatekeeper, и проблема, по словам Джеффри Пола, заключается еще и в том, что ее никак нельзя заблокировать. Служба обходит брандмауэры и VPN, отсылая Apple реальные IP-адреса.

«Apple будет знать, когда вы запустили на своем Mac безопасный браузер Tor или открыли Adobe Premiere. Она будет в курсе, дома вы или на работе, и она обязательно узнает, что вы подключились к Wi-Fi в отеле в другом городе», – говорит эксперт.

Браундмауэры больше не нужны

Функция обхода VPN и фаерволлов появилась во многих штатных приложениях macOS Big Sur еще до релиза ее финальной версии. Об этом в конце октября 2020 г. сообщил в своем Twitter бета-тестер Maxwell (@mxswd), и в тот же день идентичную информацию опубликовал ИБ-эксперт Патрик Уордл (Patrick Wardle). По его словам, трафик приложения Mac Store остался незамеченным для установленного на его ПК брандмауэра, словно его и вовсе не было.

Портал The Next Web пишет, что бета-тестеры и ИБ-специалисты питали надежду на устранение этого, по их мнению, «недочета», к релизу стабильной версии Big Sur. Тем не менее, этого не произошло, и теперь злоумышленники могут воспользоваться этой брешью для отправки личных данных пользователей на нужные им удаленные серверы.

Для чего это Apple

На момент публикации материала Apple признала существование у ее штатных приложений для macOS «сверхспособности» по обходу фаерволлов и VPN. В то же время она не уточнила, «баг» это или «фича» и не сообщила, зачем ей это.

The Next Web пишет, что у Apple может быть как минимум две причины для этого. Обход VPN позволяет ей более точно отслеживать местоположение пользователей для предоставления им более актуальной информации, в том числе и по вопросам лицензирования и использования того или иного ПО, в зависимости от места их дислокации. Кроме того, Apple может не желать, чтобы трафик именно ее программ шел через VPN-сервисы. Однако истинные причины подобного отношения компании к приватности своих пользователей пока остаются загадкой.

Реакция Apple

Apple поспешила ответить на претензии ИБ-специалистов и бета-тестестеров. Она заверила, что не собирает пользовательские данные, а IP-адреса сразу же удаляет из своих логов. Зачем в итоге ей нужны эти IP, она так и не пояснила.

Зато компания сообщила, что в будущем планирует повысить безопасность Big Sur несколькими способами. Один из них – это предоставление пользователю права блокировать работу шпионского приложения Gatekeeper. Как скоро это произойдет, неизвестно.

Другие проблемы новой macOS

Big Sur нельзя назвать самой стабильной версией macOS за всю историю. Она получила новый дизайн в стиле iOS и адаптацию под новый ARM-процессор Apple M1, но обновление до нее может вывести компьютер пользователя из строя без возможности самостоятельного восстановления.

На форумах Reddit, MacRumors и даже на сайте техподдержки Apple стали появляться сообщения, в которых пользователи жалуются на черный экран, появившийся на этапе апдейта до Big Sur. Проблема затронула в первую очередь владельцев 13-дюймовых MacBook Pro 2013 и 2014 годов выпуска, но другие устаревшие версии MacBook тоже могут быть в зоне риска.

Все варианты возвращения системы к жизни, в том числе и восстановление через интернет, не помогают. Другими словами, апдейт до Big Sur превращает старые MacBook в «кирпичи», и на 16 ноября 2020 г. решение найдено не было.

Источник