Il 12 novembre, gli utenti Mac si sono lamentati perché i loro computer erano lenti. Questa lentezza ha coinciso con il rilascio di Big Sur, l’ultimo aggiornamento per Mac di Apple. Allo stesso tempo, un errore tecnico ha interrotto i server che Apple utilizza per le richieste OCSP, i pacchetti di dati che verificano il certificato SSL di un computer quando accede alle applicazioni online.
Ogni volta che un utente apre un’applicazione (anche offline), quell’azione viene contrassegnata e tracciata dai server OCSP di Apple. Questa funzione è stata introdotta nell’aggiornamento Catalina di Apple, ma alcuni tool (come Little Snitch) potevano essere utilizzati per aggirarlo.
Ora, con Big Sur, non esiste un modo pratico per i possessori di Mac di contrastare la funzione. Apple (azioni Apple con ticker: AAPL) ha sempre detto che la privacy è il cuore della sua missione, ma queste nuove rivelazioni portano alla luce alcuni difetti nella raccolta dei dati.
Per di più, la raccolta di dati da parte di Apple con Big Sur potrebbe non essere nemmeno il problema principale poiché queste richieste OCSP vengono trasmesse in chiaro, il che significa che i contenuti possono essere letti da qualsiasi parte che li intercetti.
L’aggiornamento del Mac consente la registrazione delle attività offline
“Nelle moderne versioni di macOS, semplicemente non è possibile accendere il computer, avviare un editor di testo e scrivere o leggere senza che venga trasmesso e archiviato un registro della propria attività”, ha scritto in un post l’hacker e ricercatore di sicurezza Jeffrey Paul.
Egli ha spiegato che non pensa che “Apple abbia cattive intenzioni”, ma che il suo obiettivo sia monitorare malware e altri software illeciti sui suoi dispositivi. Il problema è che queste richieste OCSP non sono crittografate e quindi “vulnerabili al monitoraggio passivo”.
Ciò lascia i dati aperti alla raccolta e all’analisi da parte di “organizzazioni di monitoraggio passivo su larga scala”. Questo tipo di preoccupazioni ha portato a opinioni contro i server centralizzati per il tracciamento dei contatti nell’UE.
Soluzioni per la protezione dei dati
Per tutti gli utenti Mac che sperano di sfuggire alla sorveglianza, le soluzioni andranno cercate lontano dal raggio di azione di Apple. “MacOS Big Sur (versione 11.0) consente al traffico di bypassare il normale routing e le regole del firewall.
Il che significa semplicemente che Little Snitch non sarà in grado di monitorarlo e bloccarlo, e nemmeno una VPN può aiutarti o nasconderti. MacOS ora lo ha semplicemente proibito.” Sean O’Brien, il principale ricercatore presso il Digital Security Lab di ExpressVPN, ha affermato che alla fine una VPN non “impedirà ad Apple di essere in grado di raccogliere questi dati, ma almeno proteggerà gli utenti da altri intermediari di rete”.
C’è un modo per disabilitare la funzione, anche se Paul ha detto che solo gli esperti di MacOS dovrebbero provarlo. “In realtà, però, la prima cosa che i consumatori possono fare per proteggere la loro privacy quando utilizzano i dispositivi Apple è *mai* usare iCloud e non usare iMessage”, ha continuato Paul. I dati di iCloud non sono crittografati, ha detto.
