Cho dù Apple theo dõi mọi ứng dụng Mac bạn khởi chạy? Giải thích về OCSP

Máy Mac của bạn có thực sự gọi về nhà không Apple mỗi khi bạn chạy ứng dụng? Đây là cáo buộc lan truyền sau ngày 12 tháng 10 năm 2020, khi máy chủ Apple trở nên chậm chạp và máy Mac hiện đại mất nhiều thời gian để mở các ứng dụng. Chúng tôi sẽ giải thích những gì đang xảy ra.

Lưu ý: Điều này áp dụng cho cả macOS Big Sur và macOS Catalina. Tình trạng chậm máy và những lo ngại liên quan đến quyền riêng tư không có gì mới đối với macOS Big Sur.

Tại sao các ứng dụng Mac được ký bằng chứng chỉ nhà phát triển

Trên máy Mac, các ứng dụng bạn tải xuống—cho dù từ Mac App Store hay Internet—đều được ký bằng chứng chỉ nhà phát triển. Mỗi khi bạn chạy một ứng dụng, nó sẽ kiểm tra ứng dụng đó để xem ứng dụng đó có được nhà phát triển hợp pháp ký và không bị can thiệp hay không. Điều này giúp bảo vệ bạn khỏi phần mềm độc hại.

Ví dụ: khi Mozilla xây dựng Firefox, nó sẽ biên dịch tệp ứng dụng Firefox và sau đó ký tên vào tệp đó bằng chứng chỉ nhà phát triển Mozilla. Bằng cách này, Mozilla có thể chứng minh rằng tệp là có thật và được tạo bởi Mozilla. Nếu tệp ứng dụng được sửa đổi sau đó, máy Mac của bạn sẽ nhận thấy sự khác biệt.

Các chứng chỉ này chỉ có giá trị trong một thời gian nhất định – có thể là vài năm – nhưng cũng có thể bị “thu hồi” sớm hơn. Ví dụ, nếu Apple phát hiện ra rằng nhà phát triển đang sử dụng chứng chỉ của mình để ký các ứng dụng độc hại, sau đó Apple làm mất hiệu lực chứng chỉ. Máy tính Mac sẽ không tải các ứng dụng có chứng chỉ bị thu hồi này.

OCSP đã giải thích: Tại sao điện thoại Mac của bạn ở nhà?

Nhưng chờ đã – làm sao máy Mac của bạn biết nếu Apple đã thu hồi chứng chỉ được liên kết với một ứng dụng trên máy Mac của bạn? Để kiểm tra điều này, máy Mac của bạn sử dụng một thứ gọi là Giao thức trạng thái chứng chỉ trực tuyến hoặc OCSP; nó cũng được các trình duyệt web sử dụng để kiểm tra chứng chỉ trang web trong khi duyệt.

Khi bạn khởi chạy một ứng dụng, máy Mac của bạn sẽ gửi thông tin chứng chỉ của nó đến máy chủ Apple tại ocsp.apple.com. Mac hỏi máy chủ này Applechứng chỉ đã bị thu hồi hay chưa. Nếu không, máy Mac của bạn sẽ khởi chạy ứng dụng. Nếu chứng chỉ đã bị thu hồi, máy Mac của bạn sẽ không khởi chạy ứng dụng.

Điều này có xảy ra mỗi khi bạn chạy ứng dụng không?

Máy Mac của bạn ghi nhớ những câu trả lời này trong một khoảng thời gian. Vào ngày 12 tháng 11 năm 2020, các câu trả lời được lưu vào bộ đệm trong năm phút; nói cách khác, nếu bạn khởi động một ứng dụng, đóng ứng dụng đó và khởi động lại bốn phút sau, máy Mac của bạn sẽ không phải hỏi Apple cho một chứng chỉ thứ hai. Tuy nhiên, nếu bạn khởi động ứng dụng, đóng ứng dụng và chạy ứng dụng đó sau sáu phút, máy Mac của bạn sẽ phải truy vấn lại máy chủ Apple.

Vì một số lý do – có lẽ do những thay đổi trong macOS Big Sur – máy chủ Apple đã bị ngập và trở nên rất chậm vào ngày 12 tháng 11 năm 2020. Phản hồi chậm lại đáng kể và các ứng dụng mất nhiều thời gian để tải do máy Mac kiên nhẫn chờ phần mềm chậm phản hồi Apple người phục vụ.

Sau sự kiện này, máy chủ OSCP của công ty Apple hiện yêu cầu máy Mac ghi nhớ các câu trả lời về hiệu lực của chứng chỉ trong 12 giờ. Máy Mac của bạn sẽ gọi về nhà và yêu cầu chứng chỉ mỗi khi bạn khởi chạy một ứng dụng – trừ khi bạn đã nhận được phản hồi trong vòng 12 giờ qua, trong trường hợp đó, điều đó sẽ không cần thiết. (Thông tin về thời gian đến từ nhà phát triển ứng dụng độc lập Jeff Johnson.)

Điều gì xảy ra nếu máy Mac ngoại tuyến?

Kiểm tra OCSP được thiết kế để thất bại. Nếu bạn ngoại tuyến, máy Mac của bạn sẽ âm thầm bỏ qua bước kiểm tra và chạy ứng dụng bình thường.

Điều tương tự cũng áp dụng nếu máy Mac của bạn không thể kết nối với máy chủ ocsp.apple.com – có thể do địa chỉ máy chủ đã bị chặn trên mạng của bạn ở cấp bộ định tuyến. Nếu máy Mac của bạn không thể kết nối với máy chủ, nó sẽ bỏ qua bước kiểm tra và khởi chạy ứng dụng ngay lập tức.

Sự cố vào ngày 12 tháng 11 năm 2020 là trong khi máy Mac có thể truy cập máy chủ Apple, bản thân máy chủ đã chậm. Nhưng thay vì âm thầm thất bại và khởi động ứng dụng, máy Mac đã đợi phản hồi rất lâu. Nếu máy chủ ngừng hoạt động hoàn toàn, sẽ không ai để ý.

Mối đe dọa đối với quyền riêng tư là gì? nó dạy gì Apple?

Có một số lo ngại về quyền riêng tư mà mọi người ở đây đã nêu ra. Chúng được mô tả bởi tin tặc và nhà nghiên cứu bảo mật Jeffrey Paul nhanh chóng đánh giá tình hình.

Chứng chỉ được liên kết với các ứng dụng: khi máy Mac liên hệ với máy chủ OCSP, máy Mac sẽ yêu cầu chứng chỉ có khả năng được liên kết với một ứng dụng – hoặc có thể là một số ứng dụng. Về mặt kỹ thuật, máy Mac của bạn không cho bạn biết Applebạn đã khởi chạy ứng dụng nào. Ví dụ: nếu bạn khởi chạy Firefox, Apple nó phát hiện ra rằng bạn đã khởi chạy một ứng dụng do Mozilla tạo ra. Nó có thể là Firefox hoặc Thunderbird nhưng Apple không biết cái nào. Tuy nhiên, nếu bạn chạy một ứng dụng được ký bởi Dự án Tor, Apple có thể nhận ra rằng bạn đã mở Tor Browser.
Yêu cầu liên quan đến địa chỉ IP và thời gian: Tất nhiên, những yêu cầu này có thể liên quan đến ngày giờ và địa chỉ IP. Đó là cách internet hoạt động. Địa chỉ IP của bạn được gắn với một thành phố và tiểu bang cụ thể. Mỗi yêu cầu OCSP thông báo cho bạn Apple nhà phát triển về việc tạo ứng dụng khởi chạy, vị trí chung của bạn cũng như ngày và giờ khởi chạy ứng dụng.
Không mã hóa có nghĩa là có thể nghe lén: OCSP không được mã hóa. Apple nó không chỉ nhận được thông tin này – bất kỳ ai bên trong cũng có thể nhìn thấy nó. ISP, quản trị viên mạng tại nơi làm việc của bạn hoặc thậm chí một cơ quan gián điệp giám sát lưu lượng truy cập internet của bạn có thể đang nghe trộm lưu lượng OSCP giữa bạn và Apple và biết tất cả các chi tiết. Các yêu cầu này cũng đi qua mạng phân phối nội dung (CDN) của bên thứ ba có tên là Akamai. Điều này tăng tốc chúng – nhưng thêm một người trung gian khác có thể nghe trộm về mặt kỹ thuật.
Thông tin: Máy Mac của bạn không cho bạn biết Applebạn đang chạy ứng dụng nào. Thay vào đó, máy Mac của bạn chỉ cho bạn biết Applemà nhà phát triển đã tạo ra ứng dụng mà bạn đang khởi chạy. Tất nhiên, nhiều nhà phát triển chỉ xây dựng một ứng dụng. Sự phân biệt kỹ thuật này thường có ý nghĩa rất nhỏ.

(Hãy nhớ rằng: sau khi thay đổi cách bạn lưu vào bộ nhớ cache, máy Mac của bạn sẽ không hỏi nữa Apple mỗi khi bạn chạy ứng dụng. Nó chỉ làm điều đó cứ sau 12 giờ thay vì mỗi 5 phút).

Tại sao máy Mac của bạn làm điều này?

Như bạn có thể mong đợi, đó là về bảo mật. Mac là một nền tảng mở hơn iPad và iPhone. Bạn có thể tải xuống ứng dụng từ mọi nơi, ngay cả bên ngoài cửa hàng Apple Cửa hàng ứng dụng Mac.

Để bảo vệ máy Mac của bạn khỏi phần mềm độc hại – và vâng, phần mềm độc hại trên máy Mac đã trở nên phổ biến hơn – công ty Apple đã thực hiện kiểm tra bảo mật này. Nếu chứng chỉ được sử dụng để ký ứng dụng bị thu hồi, máy Mac của bạn có thể ngay lập tức hoạt động và từ chối mở ứng dụng đó. Nhờ đó Apple có thể ngăn máy Mac chạy các ứng dụng độc hại đã biết.

Bạn có thể chặn các bài kiểm tra OCSP không?

Các thử nghiệm OCSP này được thiết kế để thất bại nhanh chóng và âm thầm khi máy Mac của bạn ngoại tuyến hoặc không thể kết nối với máy chủ ocsp.apple.com.

Điều này giúp dễ dàng chặn chúng: chỉ cần ngăn máy Mac của bạn kết nối với ocsp.apple.com. Ví dụ: bạn thường có thể chặn địa chỉ này trên bộ định tuyến của mình, ngăn tất cả các thiết bị trên mạng của bạn kết nối với nó.

Rất tiếc, có vẻ như Big Sur không còn cho phép tường lửa cấp phần mềm trên máy Mac của bạn chặn quy trình tin cậy tích hợp sẵn của máy Mac để truy cập các máy chủ từ xa như máy chủ này.

Cảnh báo: Nếu bạn chặn máy chủ ocsp.apple.com, máy Mac của bạn sẽ không nhận thấy rằng công ty Apple sẽ thu hồi chứng chỉ nhà phát triển ứng dụng. Bạn quyết định tắt một tính năng bảo mật, tính năng này có thể khiến máy Mac của bạn gặp rủi ro.

Gì Apple nói và hứa sẽ thay đổi?

Một người đàn ông đang sử dụng MacBook có phần mở rộng

Có vẻ như Apple đã nghe những lời chỉ trích. Vào ngày 16 tháng 11 năm 2020, công ty đã thêm thông báo “Lá chắn quyền riêng tư” cho Gatekeeper vào trang web của mình.

Trước hết, Apple cho biết họ chưa bao giờ kết hợp dữ liệu từ các chứng chỉ hoặc kiểm tra phần mềm độc hại này với bất kỳ dữ liệu nào khác mà họ có Apple biết về bạn. Công ty hứa rằng họ sẽ không sử dụng thông tin này để theo dõi các ứng dụng mà người dùng chạy trên máy Mac của họ.

Thứ hai, Apple khẳng định rằng các kiểm tra chứng chỉ này không liên quan đến của bạn Apple ID hoặc bất kỳ thông tin thiết bị nào ngoài địa chỉ IP của bạn. Apple cho biết họ đã ngừng ghi nhật ký các địa chỉ IP được liên kết với các yêu cầu này và sẽ xóa chúng khỏi nhật ký Apple.

Trong năm tới – nói cách khác, vào cuối năm 2021 – Apple cho biết nó sẽ thực hiện các thay đổi sau:

Thay thế OCSP bằng một giao thức được mã hóa: Apple tuyên bố tạo một giao thức được mã hóa mới để thay thế hệ thống OCSP không được mã hóa để xác thực chứng chỉ của nhà phát triển. Điều này sẽ ngăn không cho bất kỳ ai bên trong theo dõi bạn.
Dừng chậm lại: Apple nó cũng hứa hẹn “sự bảo vệ mạnh mẽ chống lại lỗi máy chủ” – nói cách khác, các ứng dụng sẽ không tải chậm do máy chủ lại bị chậm lại.
Cho người dùng lựa chọn: Apple tuyên bố rằng người dùng Mac sẽ có thể vô hiệu hóa các biện pháp bảo vệ này và ngăn máy Mac kiểm tra các chứng chỉ nhà phát triển đã bị thu hồi.

Nói chung, những thay đổi này sẽ loại bỏ các vấn đề khác nhau – bên thứ ba sẽ không thể theo dõi bên trong nữa. Máy Mac vẫn sẽ gửi đến Apple thông tin nó có thể sử dụng để theo dõi những ứng dụng bạn mở nhưng Apple hứa sẽ không liên kết thông tin này với bạn. Chậm lại nên được loại bỏ bởi vì Apple nó cũng khắc phục vấn đề hiệu suất.

Điều gì sẽ là giao thức tốt hơn? Tốt, Apple vẫn chưa cho biết nó sẽ thay thế OCSP bằng cái gì. Như nhà nghiên cứu bảo mật Scott Helme lưu ý, một cái gì đó như CRLite có thể giúp xâu kim ở đây. Hãy tưởng tượng nếu máy Mac của bạn có thể tải xuống một tệp từ Apple và cập nhật nó thường xuyên. Tệp sẽ chứa danh sách nén tất cả các lần thu hồi chứng chỉ. Mỗi khi bạn khởi chạy một ứng dụng, máy Mac của bạn có thể kiểm tra một tệp, loại bỏ các vấn đề kiểm tra mạng và quyền riêng tư.

Máy Mac của bạn đôi khi gửi lối tắt ứng dụng đến Apple

Nhân tiện, máy Mac của bạn đôi khi gửi lối tắt của ứng dụng bạn mở tới máy chủ Apple. Điều này khác với kiểm tra chữ ký OCSP. Thay vào đó, nó phải làm với Gatekeeper đã được công chứng.

Các nhà phát triển có thể gửi ứng dụng tới Applekiểm tra chúng để tìm phần mềm độc hại và sau đó “công chứng” chúng nếu chúng có vẻ an toàn. Thông tin công chứng này có thể được “ghim” trong ứng dụng. Nếu nhà phát triển không ghép thông tin yêu cầu vào tệp ứng dụng, máy Mac của bạn sẽ kiểm tra máy chủ Apple lần đầu tiên bạn khởi chạy ứng dụng này.

Điều này chỉ xảy ra khi bạn khởi chạy một phiên bản ứng dụng lần đầu tiên, không phải mỗi lần bạn mở nó. Nhà phát triển có thể loại bỏ việc kiểm tra trực tuyến bằng cách dập ghim.

Máy Mac không phải là duy nhất ở đây. Ví dụ, máy tính chạy Windows 10 thường gửi dữ liệu về các ứng dụng đã tải xuống tới dịch vụ SmartScreen của Microsoft để kiểm tra phần mềm độc hại. Các chương trình chống vi-rút và các ứng dụng bảo mật khác cũng có thể gửi thông tin về các ứng dụng đáng ngờ cho công ty bảo mật.

Những bài viết liên quan

Back to top button