12 listopada użytkownicy komputerów Mac skarżyli się, że ich komputery działają wolno. To spowolnienie zbiegło się z wydaniem Big Sur, najnowszej aktualizacji Apple dla komputerów Mac. W tym samym czasie usterka zakłóciła działanie serwerów używanych przez Apple do obsługi żądań OCSP, czyli pakietów danych weryfikujących certyfikat SSL komputera podczas uzyskiwania przez niego dostępu do aplikacji online.
Za każdym razem, gdy użytkownik otwiera aplikację (nawet w trybie offline), działanie to jest oznaczane i śledzone przez serwery OCSP firmy Apple. Ta funkcja została wprowadzona w aktualizacji Apple Catalina, ale niektóre narzędzia (takie jak Little Snitch) można było wykorzystać do jej ominięcia.
Teraz, w przypadku Big Sur, właściciele komputerów Mac nie mają praktycznego sposobu na przeciwdziałanie tej funkcji. Jabłko (Apple akcji z paskiem: AAPL) zawsze twierdziła, że prywatność jest w centrum jego misji, ale te nowe rewelacje ujawniają pewne wady w gromadzeniu danych.
Co więcej, gromadzenie danych przez Apple z Big Sur może nawet nie być głównym problemem, ponieważ żądania OCSP są przesyłane w sposób jawny, co oznacza, że treść może odczytać każda strona, która je przechwyci.
Aktualizacja dla komputerów Mac umożliwia rejestrowanie aktywności w trybie offline
„W nowoczesnych wersjach systemu macOS po prostu nie można włączyć komputera, uruchomić edytora tekstu ani pisać ani czytać bez przesyłania i przechowywania dziennika aktywności” – napisał w poście Paul haker i badacz bezpieczeństwa Jeffrey.
Wyjaśnił, że jego zdaniem nie „Apple ma złe intencje”, ale że jego celem jest monitorowanie złośliwego oprogramowania i innego nielegalnego oprogramowania na jego urządzeniach. Problem polega na tym, że te żądania OCSP nie są szyfrowane i dlatego są „podatne na pasywne monitorowanie”.
Dzięki temu dane mogą być gromadzone i analizowane przez „wielkie organizacje pasywnego monitorowania”. Tego typu obawy doprowadziły do wydania opinii przeciwko scentralizowanym serwerom umożliwiającym śledzenie kontaktów zakaźnych w UE.
Rozwiązania do ochrony danych
Użytkownicy komputerów Mac, którzy chcą uniknąć inwigilacji, będą musieli szukać rozwiązań poza zasięgiem Apple. „MacOS Big Sur (wersja 11.0) umożliwia ruchowi omijanie normalnego routingu i reguł zapory sieciowej.
Oznacza to po prostu, że Little Snitch nie będzie w stanie go monitorować i blokować, a nawet VPN nie będzie w stanie Ci pomóc ani ukryć. MacOS teraz po prostu tego zabronił.” Sean O'Brien, główny badacz w laboratorium bezpieczeństwa cyfrowego ExpressVPN, powiedział, że ostatecznie VPN nie „uniemożliwi Apple gromadzenie tych danych, ale przynajmniej ochroni użytkowników przed innymi pośrednikami sieciowymi”.
Istnieje sposób na wyłączenie tej funkcji, chociaż Paul powiedział, że powinni ją wypróbować tylko eksperci od MacOS. „Jednak w rzeczywistości pierwszą rzeczą, jaką konsumenci mogą zrobić, aby chronić swoją prywatność podczas korzystania z urządzeń Apple, jest *nigdy* nie używanie iCloud i nieużywanie iMessage” – kontynuował Paul. Dane iCloud nie są szyfrowane, powiedział.
