Egy szerverlassulás, amely egybeesett az új Mac operációs rendszer, a Big Sur elindításával, nagy aggodalmakat kelthet a magánélet védelmét illetően.
Az a hang, amit csütörtök délben hallhattál, csak a több millió Mac-felhasználó nagyon lassúúúúúú számítógépeinek együttes újraindulása volt, miután az Apple egy jelentős szerverkiesést tapasztalt.
A lassulás egybeesett (véletlenül vagy sem) az Apple új operációs rendszerének, a Big Surnak az elindulásával. Azok a felhasználók azonban, akik még nem frissítettek a legújabb, kaliforniai témájú operációs rendszerre, gondokba ütközhetnek alkalmazásaik helyes működésében.
Ironikusan, bár az Apple gyakran tűnik fel a magánélet védelméért küzdő vállalat színeiben, valamint a Big Sur is számos ezzel kapcsolatos fejlesztést tartalmaz, probléma merült fel a nem titkosított adatokkal kapcsolatban.
Jeff Johnson Mac-fejlesztő szerint a Macek nem tudtak csatlakozni ahhoz a szerverhez, amely az online tanúsítványok állapotának protokolljával (OCSP) kapcsolatos. Ezt használják arra, hogy ellenőrizzék, vajon a digitális tanúsítvány hiteles-e vagy sem.
🤔 FYI, seems to be something going on with super sluggish app launching right now. It doesn’t seem to be just us. We are looking into it! https://t.co/RZduhcBwiX
— Panic (@panic) November 12, 2020
Az esettel kapcsolatban Jeffrey Paul biztonsági kutató elmondta, miszerint a hiba csak még jobban kiterjesztette azt az adatvédelmi problémát, amely már alapból is jelen volt:
„Úgy néz ki, hogy a jelenlegi macOS változataiban az operációs rendszer elküld az Apple-nek egy hash-t (egyedi azonosítót) minden egyes általad futtatott programról. Nagyon sok ember ezt nem tudatosítja, mivel egy csendes és láthatatlan dologról van szó, amely azonnal elegánsan leáll, amikor offline módba váltasz, ma azonban a szerver nagyon lelassult, nem találta meg az elérési utat, és senki sem tudta megnyitni az alkalmazásait, ha [eszközük] csatlakozott az internethez.”
Így, amikor online vagy, az Apple tudja azt, mely alkalmazásokat használod. Ha ez nem lenne elég, titkosítatlan OSCP-kérelmeket küld, amelyeket még az internetszolgáltatód is láthat. (A Decrypt kriptohírportál megpróbálta elérni az Apple-t, hogy kommentálja az esetet, eddig azonban nem kaptak választ a kérdéseikre.)
Matthew Hardeman szoftverfejlesztő és hálózati mérnök a Decryptnek elmondta, miszerint „minden egyes Mac, amely a legújabb macOS-t futtatja, OCSP-lekérdezéseket küld az Apple-nek – legalábbis az alapértelmezett konfigurációk mellett”.
Saját Gatekeeper-rendszerük révén „a macOS prospektívan ellenőrzi, mikor indítasz el egy alkalmazást, hogy meghatározza, vajon az Apple felülvizsgálta-e már becslésüket annak a szoftvernek a biztonságát illetően, amelyet indítani próbálsz.”
Mindez azonban számos adatvédelmi aggodalmat vet föl. Először is, mivel a számítógépednek el kell küldenie az IP-címedet az Apple-lel való kommunikáláshoz, az Apple látja az IP-címedet és azt az alkalmazást, amelyet használni szeretnél.
Másodszor, az OCSP titkosítatlan HTTP-kommunikációt használ, vagyis „bármilyen entitás, aki látja a macOS-t futtató számítógépedet, megfigyelheti és/vagy feljegyezheti ezeket a tényeket.”
Bár, mint mondja, az esetek többségében mindez nem jelent okot aggodalomra, Hardeman a Decryptnek elárulta:
„Úgy vélem, valószínűleg senki nem ért egyet azzal, hogy harmadik fél figyelhesse meg, hogy elindítasz el egy alkalmazást, és hogy azt is láthassák, milyen alkalmazást.”
Extremely concerning privacy situation with the new Apple operating system https://t.co/SWTyLUdkjq this is extremely bad
— Vinay (@leashless) November 13, 2020
Hardeman utalt arra, hogy az Apple többé-kevésbé úgy használ egy szabványos ágazati protokollt, ahogy azt használni kell – és hogy a legtöbb ember járjon ezzel jól.
Ennek ellenére arra szólította fel az Apple-t hogy javítsák ki az aggodalmat keltő bugokat.
Ezenfelül, ha az Apple úgy szeretne tenni a magánélet védelméért, ahogyan beszél róla, akkor a most használt standard talán nem lesz többé elég jó.
Olvastad már? Két nagy befektető, aki 40%-ot bukott bitcoineladással
Forrás: decrypt.co
SZERETNÉD MEGKAPNI LEGFRISSEBB HÍREINKET? IRATKOZZ FEL HÍRLEVELÜNKRE!
