¿Tu Mac realmente llama a Apple cada vez que lanza una aplicación? Esta acusación salió a la luz después del 12 de octubre de 2020, cuando el servidor de Apple se hizo lento y las Macs modernas tardaron mucho en abrir aplicaciones. Explicaremos lo que está pasando.
Información: Esto se aplica tanto a MacOS Big Sur como a MacOS Catalina. La desaceleración y los problemas de privacidad relacionados no son nuevos para MacOS Big Sur.
- Por qué las aplicaciones MAC están firmadas con los certificados de desarrolladores
- Explicación de OCSP: ¿Por qué su teléfono Mac está en casa?
- ¿Esto sucede cada vez que lanza una aplicación?
- ¿Qué hago si mi Mac está fuera de línea?
- ¿Cuál es el riesgo de privacidad?¿Qué está aprendiendo Apple de esto?
- ¿Por qué tu Mac está haciendo esto?
- ¿Puedo bloquear las verificaciones de OCSP?
- ¿Qué dice Apple y promete cambiar?
- Su Mac a veces envía hash de aplicación a Apple
Por qué las aplicaciones MAC están firmadas con los certificados de desarrolladores
En la Mac, las aplicaciones que descarga, ya sea desde la tienda de aplicaciones de Mac o en la web, se firman con un certificado de desarrollador. Cada vez que ejecuta la aplicación, la verifica para asegurarse de que fuera firmada por un desarrollador legítimo y no ha sido manipulado. Esto ayuda a protegerlo del malware.
Por ejemplo, cuando Mozilla crea Firefox, compila el archivo de aplicación Firefox y luego lo firma con un certificado de desarrollador de Mozilla. Esta es la forma en que Mozilla demostrar que el archivo es legítimo y creado por Mozilla. Si el archivo de aplicación se modifica más tarde, su Mac notará la diferencia.
Estos certificados solo son válidos por un cierto período de tiempo, tal vez varios años, pero pueden ser «revocados» antes. Por ejemplo, si Apple descubre que un desarrollador está utilizando su certificado para firmar aplicaciones maliciosas, Apple revocará el certificado. Macs no descargará aplicaciones con ese certificado revocado.
Explicación de OCSP: ¿Por qué su teléfono Mac está en casa?
Pero espere: ¿cómo sabe su Mac si Apple ha revocado el certificado asociado con una aplicación en su Mac? Su Mac usa algo llamado Protocolo de estado del certificado en línea, u OCSP, para verificar; También es utilizado por los navegadores web para verificar los certificados del sitio web mientras navega.
Cuando inicia una aplicación, su Mac envía su información de certificado a un servidor Apple en OCSP. apple. com. Su Mac consulta este servidor Apple para ver si el certificado ha sido revocado. Si no lo ha hecho, su Mac inicia la aplicación. Si el certificado ha sido revocado, su Mac no iniciará la aplicación.
¿Esto sucede cada vez que lanza una aplicación?
Su Mac recuerda estas respuestas por un cierto período de tiempo. El 12 de noviembre de 2020, las respuestas se almacenaron en caché durante cinco minutos; En otras palabras, si lanza una aplicación, la cierra y la inicia nuevamente cuatro minutos después, su Mac no tendrá que pedirle a Apple un certificado por segunda vez. Sin embargo, si lanza una aplicación, la cierra y la inicia nuevamente seis minutos después, su Mac tendrá que consultar los servidores de Apple nuevamente.
Por alguna razón, posiblemente debido a los cambios en MacOS Big Sur, el servidor de Apple se sobrecargó y se volvió muy lento el 12 de noviembre de 2020. Las respuestas se desaceleraron considerablemente y las aplicaciones tardaron mucho en cargarse mientras Macs esperaba pacientemente una respuesta del servidor lento de Apple.
Después de este evento, el servidor OSCP de Apple ahora le dice a MacS que recuerde respuestas sobre la validez de los certificados durante 12 horas. Su Mac llamará a casa y preguntará sobre el certificado cada vez que lance una solicitud, a menos que haya recibido una respuesta dentro de las últimas 12 horas, en cuyo caso no es necesario.(Información del período de tiempo proporcionado por el desarrollador independiente de la aplicación. Jeff Johnson).
¿Qué hago si mi Mac está fuera de línea?
La verificación OCSP está diseñada para funcionar sin demora. Si no está en línea, su Mac se omitirá automáticamente las aplicaciones de cheque y ejecutará de manera normal.
Lo mismo es cierto si su Mac no puede contactar al servidor OCSP. apple. com, posiblemente porque la dirección del servidor está bloqueada en su red a nivel del enrutador. Si su Mac no puede contactar al servidor, omite el cheque y ejecuta la aplicación de inmediato.
El problema el 12 de noviembre de 2020 fue que, si bien MacS podía conectarse al servidor de Apple, el servidor en sí era lento. Pero en lugar de fallar en silencio y continuar lanzando la aplicación, los Macs esperaron mucho tiempo para una respuesta. Si el servidor se hubiera apagado por completo, nadie lo habría notado.
¿Cuál es el riesgo de privacidad?¿Qué está aprendiendo Apple de esto?
La gente ha planteado varias preocupaciones de privacidad aquí. Están deletreados en la incisiva versión de la situación del investigador de seguridad y investigador de seguridad de Jeffrey Paul.
Los certificados están asociados con aplicaciones. Cuando su Mac se pone en contacto con el servidor OCSP, solicita un certificado, que probablemente esté asociado con una sola aplicación o posiblemente múltiples aplicaciones. Técnicamente, su Mac no le dice a Apple qué aplicación está ejecutando. Por ejemplo, si está ejecutando Firefox, Apple solo reconoce que está ejecutando una aplicación creada por Mozilla. Podría ser Firefox o Thunderbird, pero Apple no sabe cuál. Sin embargo, si ejecuta una aplicación firmada por el proyecto TOR, Apple puede tener una idea bastante buena de que ha abierto el navegador Tor. Las solicitudes están relacionadas con direcciones IP y tiempo: estas solicitudes pueden, por supuesto, estar relacionadas con la fecha, la hora y su dirección IP. Así es como funciona Internet. Su dirección IP está asociada con una ciudad y estado específicos. Cada solicitud de OCSP le dice a Apple el desarrollador que creó la aplicación que está ejecutando, su ubicación general y la fecha y hora en que ejecutó la aplicación. La falta de cifrado significa que el seguimiento es posible: el protocolo OCSP no está encriptado. No es solo Apple lo que obtiene esta información, sino cualquier persona en el medio. Su ISP, un administrador de red en el trabajo o incluso una agencia de espionaje que rastrea el tráfico de Internet puede alegar el tráfico OSCP entre usted y Apple y aprender todos estos detalles. Estas solicitudes también pasan por una red de distribución de contenido de terceros (CDN) llamada AKAMAI. Esto los acelera, pero agrega otro intermediario que técnicamente puede rastrear. Información: WA
(Recuerde: con el cambio del modo Cache, su Mac ya no le indica a Apple cada vez que lanza una aplicación. Solo lo hace cada 12 horas en lugar de cada 5 minutos.
¿Por qué tu Mac está haciendo esto?
Como es de esperar, se trata de seguridad. Las Mac son una plataforma más abierta que los iPads y los iPhones. Puede descargar aplicaciones desde cualquier lugar, incluso fuera de la tienda de aplicaciones de Apple Mac.
Para proteger su Mac del malware, y sí, el malware MAC se ha vuelto más frecuente, Apple ha implementado esta verificación de seguridad. Si el certificado utilizado para firmar una aplicación se revoca, su Mac puede entrar en acción inmediatamente y negarse a abrir esa aplicación. Esto le da a Apple la capacidad de evitar que las aplicaciones maliciosas conocidas se ejecuten en su Mac.
¿Puedo bloquear las verificaciones de OCSP?
Estas verificaciones de OCSP están diseñadas para fallar de manera rápida e invisible cuando su Mac está desconectada o no puede contactar al servidor OCSP. apple. com.
Esto los hace fáciles de bloquear: simplemente evite que su Mac se conecte a OCSP. apple. com. Por ejemplo, a menudo puede bloquear esta dirección en su enrutador, evitando que todos los dispositivos en su red se conecten a él.
Desafortunadamente, parece que Big Sur ya no permite que los firewalls a nivel de software en Macs bloqueen el proceso de confianza incorporado de la Mac para acceder a servidores remotos como este.
Advertencia: si bloquea el servidor OCSP. apple. com, su Mac no se dará cuenta cuando Apple revoca el certificado de un desarrollador de aplicaciones. Usted elige deshabilitar una función de seguridad, y eso podría poner en peligro su Mac.
¿Qué dice Apple y promete cambiar?
Apple parece haber escuchado las críticas. El 16 de noviembre de 2020, la compañía agregó información sobre «protecciones de privacidad» para Gatekeeper en su sitio web.
Primero, Apple dice que nunca ha combinado datos de estos certificados o verificaciones de malware con cualquier otro datos que Apple conoce sobre usted. La compañía promete que no utiliza esta información para rastrear las aplicaciones que los usuarios ejecutan en sus Mac.
En segundo lugar, Apple insiste en que estas verificaciones de certificados no están vinculadas a su ID de Apple o cualquier información del dispositivo que no sea su dirección IP. Apple dice que ha dejado de registrar direcciones IP asociadas con estas solicitudes y las eliminará de los registros de Apple.
Durante el próximo año, en otras palabras, a fines de 2021, Apple dice que hará los siguientes cambios:
Reemplace el OCSP con un protocolo cifrado: Apple dice que creará un nuevo protocolo encriptado para reemplazar el sistema OCSP sin cifrar para verificar los certificados de desarrolladores. Esto evitará el seguimiento de cualquier persona en el medio. Detener la ralentización: Apple también promete una «protección robusta contra los bloqueos del servidor»; en otras palabras, las aplicaciones no serán lentas para cargarse porque el servidor ha disminuido nuevamente. Dé una opción a los usuarios: Apple dice que los usuarios de MAC podrán deshabilitar estas protecciones y evitar que sus Macs revisen los certificados de desarrolladores revocados.
En general, estos cambios solucionarán varios problemas: los terceros ya no podrán monitorear el medio. MacS seguirá enviando información de Apple que puede usar para rastrear qué aplicaciones abre, pero Apple promete no vincular esa información. Las desaceleraciones deben abordarse como Apple también aborda el problema de rendimiento.
¿Cuál será el mejor protocolo? Bueno, Apple aún no ha dicho con qué reemplazará a OCSP. Como señala el investigador de seguridad Scott Helm, algo como CRLite podría ayudar a enhebrar la aguja aquí. Imagine si su Mac podría descargar un solo archivo de Apple y actualizarlo regularmente. El archivo contendría una lista comprimida de todos los certificados revocados. Cada vez que ejecuta una aplicación, su Mac podría verificar el archivo, eliminando las verificaciones de la red y las preocupaciones de privacidad.
Su Mac a veces envía hash de aplicación a Apple
Por cierto, su Mac a veces envía hashs de aplicaciones que abre a los servidores de Apple. Esto es diferente de las comprobaciones de firma OCSP. En cambio, tiene que ver con la notarización de Gatekeeper.
Los desarrolladores pueden cargar aplicaciones a Apple, lo que las verifica para el malware y luego las «notariza» si parecen ser seguros. Esta información de notarización se puede adjuntar a la aplicación. Si el desarrollador no adjunta la información del boleto al archivo de la aplicación, su Mac verificará los servidores de Apple la primera vez que ejecuta la aplicación.
Esto sucede solo cuando ejecuta una versión en particular de la aplicación, no cada vez que la abra. Y la validación en línea puede ser eliminada por el desarrollador mediante el grapado.
Las Mac no son únicas aquí. Las computadoras de Windows 10, por ejemplo, a menudo cargan datos sobre las aplicaciones que descarga al servicio SmartScreen de Microsoft para verificar si hay malware. Los programas antivirus y otras aplicaciones de seguridad también pueden cargar información sobre aplicaciones sospechosas a la compañía de seguridad.
