Il controllo del certificato Mac alimenta il timore che Apple registri ogni app che esegui

0
6

Lo scorso giovedì pomeriggio, gli utenti Mac di tutto il mondo hanno iniziato a lamentarsi di un rallentamento paralizzante durante l'apertura delle app. La causa: i controlli del certificato online che Apple esegue ogni volta che un utente apre un'app non scaricata dall'App Store. L'aggiornamento di massa a Big Sur, a quanto pare, ha fatto rallentare i server Apple responsabili di questi controlli.

Apple ha risolto rapidamente il rallentamento, ma le preoccupazioni per i Mac paralizzati sono state presto sostituite da una preoccupazione ancora più grande: l'enorme quantità di dati personali che Apple, e forse altri, possono raccogliere dai Mac eseguendo i controlli dei certificati ogni volta che un utente apre un'app che non ha provengono dall'App Store.

Per le persone che capivano cosa stava succedendo dietro le quinte, c'erano pochi motivi per considerare i controlli dei certificati come una presa di privacy. Giusto per essere sicuri, però, lunedì Apple ha pubblicato un articolo di supporto che dovrebbe sedare ogni preoccupazione persistente. Ne parleremo più avanti: in primo luogo, torniamo indietro e forniamo alcune informazioni di base.

Incontra OCSP

Prima che Apple consenta a un'app di accedere all'App Store, deve prima superare una revisione che ne verifichi la sicurezza. Gli utenti possono configurare la funzionalità macOS nota come Gatekeeper per consentire solo queste app approvate oppure possono scegliere un'impostazione che consente anche l'installazione di app di terze parti, purché queste app siano firmate con un certificato per sviluppatori emesso da Apple. Per assicurarsi che il certificato non sia stato revocato, macOS utilizza OCSP, abbreviazione di Online Certificate Status Protocol, standard di settore, per verificarne la validità.

Controllare la validità di un certificato, qualsiasi certificato, autenticare un sito web o un software sembra abbastanza semplice, ma da tempo presenta problemi a livello di settore che non sono facili da risolvere. Il mezzo iniziale era l'uso di elenchi di revoca dei certificati, ma man mano che gli elenchi crescevano, le loro dimensioni ne impedivano il corretto funzionamento. CRL ha lasciato il posto a OCSP, che ha eseguito il controllo sui server remoti.

OCSP, si è scoperto, aveva i suoi inconvenienti. I server a volte si bloccano e, quando lo fanno, le interruzioni del server OCSP possono paralizzare milioni di persone che cercano di fare cose come visitare siti, installare app e controllare la posta elettronica. Per proteggersi da questo rischio, l'OCSP utilizza per impostazione predefinita quello che viene chiamato "soft fail". Invece di bloccare il sito web o il software che viene controllato, OCSP agirà come se il certificato fosse valido nel caso in cui il server non risponde.

Annuncio pubblicitario

In qualche modo, il numero di persone che hanno eseguito l'aggiornamento a Big Sur giovedì sembra aver causato il sovraccarico dei server su ocsp.apple.com ma non il completo. Il server non è stato in grado di fornire il tutto chiaro, ma non ha nemmeno restituito un errore che avrebbe attivato il soft fail. Il risultato è stato che un numero enorme di utenti Mac è rimasto nel limbo.

Apple ha risolto il problema con la disponibilità di ocsp.apple.com, presumibilmente aggiungendo più capacità del server. Normalmente, quella sarebbe stata la fine del problema, ma non lo era. Ben presto, i social media sono stati inondati di affermazioni secondo cui il processo di verifica delle app di macOS stava trasformando Apple in un Grande Fratello che monitorava l'ora e il luogo ogni volta che gli utenti aprivano o riaprivano un'app non scaricata dall'App Store.

La paranoia colpisce in profondità

Il post Il tuo computer non è tuo è stato uno dei catalizzatori della preoccupazione di massa. Ha notato che le semplici richieste di recupero HTML eseguite da OCSP non erano crittografate. Ciò significava che non solo Apple era in grado di creare profili basati sul nostro utilizzo del Mac minuto per minuto, ma lo stesso poteva fare gli ISP o chiunque altro potesse visualizzare il traffico che passa sulla rete. (Per evitare di cadere in un ciclo di autenticazione infinito, praticamente tutto il traffico OCSP non è crittografato, sebbene le risposte siano firmate digitalmente.)

Fortunatamente, post meno allarmisti come questo hanno fornito uno sfondo più utile. Gli hash trasmessi non erano unici per l'app stessa, ma piuttosto per il certificato sviluppatore rilasciato da Apple. Ciò consentiva comunque alle persone di dedurre quando veniva utilizzata un'app come Tor, Signal, Firefox o Thunderbird, ma era ancora meno granulare di quanto molti pensassero inizialmente.

Il punto più importante era che, per molti aspetti, la raccolta dei dati da parte di ocsp.apple.com non era molto diversa dalle informazioni che vengono già trasmesse in tempo reale tramite OCSP ogni volta che visitiamo un sito web. A dire il vero, ci sono alcune differenze. Apple vede le richieste OCSP per tutte le app Mac non scaricate dall'App Store, che presumibilmente è un numero enorme. Le richieste OCSP per altro software con firma digitale vanno a centinaia o migliaia di diverse autorità di certificazione e generalmente vengono inviate solo quando l'app viene installata.

In breve, però, la conclusione era la stessa: la potenziale perdita di privacy da OCSP è un compromesso che facciamo nel tentativo di verificare la validità del certificato che autentica un sito Web che vogliamo visitare o un software che vogliamo installare.

Annuncio pubblicitario

Apple parla

Nel tentativo di assicurare ulteriormente agli utenti Mac, Apple lunedì ha pubblicato questo post. Spiega cosa fa e cosa non fa l'azienda con le informazioni raccolte tramite Gatekeeper e una funzione separata nota come autenticazione notarile, che controlla la sicurezza anche delle app non App Store. Il post afferma:

Gatekeeper esegue controlli online per verificare se un'app contiene malware noto e se il certificato di firma dello sviluppatore viene revocato. Non abbiamo mai combinato i dati di questi controlli con le informazioni sugli utenti Apple o sui loro dispositivi. Non utilizziamo i dati di questi controlli per apprendere ciò che i singoli utenti stanno avviando o eseguendo sui propri dispositivi.

L'autenticazione autentica controlla se l'app contiene malware noto utilizzando una connessione crittografata resistente ai guasti del server.

Questi controlli di sicurezza non hanno mai incluso l'ID Apple dell'utente o l'identità del suo dispositivo. Per proteggere ulteriormente la privacy, abbiamo interrotto la registrazione degli indirizzi IP associati ai controlli dei certificati dell'ID sviluppatore e faremo in modo che tutti gli indirizzi IP raccolti vengano rimossi dai registri.

Il post continuava affermando che nel prossimo anno Apple fornirà un nuovo protocollo per verificare se i certificati degli sviluppatori sono stati revocati, fornire "forti protezioni contro i guasti del server" e presentare una nuova impostazione del sistema operativo per gli utenti che desiderano rinunciare tutto questo.

La controversia sul comportamento che macOS ha fatto da quando almeno la versione Catalina è stata introdotta lo scorso ottobre sottolinea il compromesso che a volte si verifica tra sicurezza e privacy. Gatekeeper è progettato per consentire agli utenti meno esperti di evitare le app note per essere dannose. Per utilizzare Gatekeeper, gli utenti devono inviare una certa quantità di informazioni ad Apple.

Non che Apple sia completamente senza colpa. Per prima cosa, gli sviluppatori non hanno fornito un modo semplice per disattivare i controlli OCSP. Ciò ha reso il blocco dell'accesso a ocsp.apple.com l'unico modo per farlo e per gli utenti Mac meno esperti è troppo difficile.

L'altro errore è affidarsi a OCSP. A causa del suo design soft fail, la protezione può essere sovrascritta, in alcuni casi intenzionalmente da un utente malintenzionato o semplicemente a causa di un errore di rete. Apple, tuttavia, non è certo la sola a fare affidamento su OCSP. Un metodo di revoca noto come CRLite potrebbe infine fornire una soluzione a questo errore.

Le persone che non si fidano dei controlli OCSP per le app Mac possono disattivarli modificando il file hosts del Mac. Tutti gli altri possono andare avanti.