matomo

Special Offer: Save $144.12 on our annual subscription

Potensielt sikkerhetsproblem med MacOS Big Sur

Maximilian Holm, om Personvern på nettet

To problemer etter Big Sur-oppdateringen for macOS har blitt avdekket. Det første problemet dreier seg om Apple-notarisering for apper, og er en sikkerhetsfunksjon som brukes av Apple for å bekrefte at apper ikke er skadelige og ikke har blitt endret. Det andre problemet er at apper opprettet av Apple vanligvis omgår VPN-tilkoblinger.

TLDR: Etter omfattende undersøkelser og tester, lekker ikke OVPN-klienten data fra innebygde Apple-apper når killswitch er aktivert ettersom killswitch bruker PF-brannmuren. All trafikk fra MacOS-datamaskinen din sendes over VPN-tilkoblingen.

Hva skjedde?

Hvis du prøvde å åpne noen applikasjoner på Mac-en din rundt 12. november, har du kanskje lagt merke til at applikasjonene ikke klarte å starte, eller det tok veldig lang tid å starte dem.

Dette er fordi moderne versjoner av macOS sender en hash til Apple hver gang du starter et program, og (muligens på grunn av Big Sur-oppdateringen) gikk Apple-serverne veldig sakte. Så sakte, faktisk at hashen som blir sendt til Apple ikke klarte å sende og ikke utløste frakoblet kode. Dette fører igjen til at alle apper som ikke er fra Apple, ikke klarer å starte.

Hver gang du starter et program på din MacOS-datamaskin, sender datamaskinen en melding til ocsp.apple.com som inneholder følgende informasjon:

Dato, klokkeslett, datamaskin, ISP, by, stat, applikasjonshash

Som med enhver server du kommuniserer med, kan serveren også se IP-adressen din. Dette åpner et potensielt problem med alle moderne macOS-datamaskiner der de kan knytte både din normale IP-adresse og VPN-IP-adresse til deg. Når du starter et VPN-program, vil den nevnte informasjonen bli sendt til Apples servere ved hjelp av IP-adressen din. Etter at du har koblet til og startet et annet program, vil det ringes til Apples servere med VPN-IP-adressen din, noe som betyr at VPN-IP-adressen din potensielt kan knyttes til deg ved hjelp av informasjonen Apple har lagret om deg.

Og enda verre, informasjonen blir ikke bare hos Apple, forespørslene datamaskinen din sender er ukryptert, noe som betyr at din internettleverandør eller noen andre i samme nettverk som deg kan se disse, så vel som alle andre som kan ha tappet kabler. De sendes også til en server som drives av et eget selskap - Akamai - som også vil ha tilgang til dem. I tillegg til Apple og Akamai, har Apple vært en partner i USA PRISM-programmet for militær etterretning siden oktober 2012, som når som helst kan få tilgang til alle disse dataene uten en garanti. Og det kan man sannelig si at de gjør. Faktisk gjorde de det mer enn 35000 ganger i løpet av 2019.

Før Big Sur-oppdateringen kunne alt dette bli blokkert ved hjelp av Little SnitchLuLu eller andre brannmurapplikasjoner, men det er ikke lenger mulig fra og med macOS 11.0, på grunn av noen nye API-er som forhindrer brannmurer fra å blokkere disse. Little Snitch ga nylig ut en oppdatert versjon, Little Snitch 5, som løser dette problemet som du kan oppgradere til gratis hvis du kjøpte Little Snitch 4 etter 1. november 2019.

Selv om dette har vært standard selv i tidligere versjoner av macOS-datamaskiner, er dette første gang Apple forhindrer aktivt folk i å blokkere disse forespørslene. Utover de åpenbare personvernproblemene, åpner dette for mange nye problemer, for eksempel at Apple kan å kontrollere hvilke apper som kan startes på datamaskinen din, og åpner dørnr for at autoritære regimer som Kina kan tvinge Apple til å sensurere hvilke applikasjoner kinesiske brukere har tilgang til, noe de allerede har gjort tidligere i App Store. Dette kan også potensielt åpne nye dører for regjeringer som USA for å installere bakdører direkte på Apples enheter - noe de introduserte et lovforslag for så sent som i år.

Hvordan kan dette forebygges?

For øyeblikket er det ingen enkel måte å forhindre dette på Apple-enheten din uten tredjepartsapper siden demonen som er ansvarlig for disse forespørslene (trustd) er i den nye ContentFilterExclusionList, noe som betyr at de ignorerer alle brukerstyrte brannmurer. Faktisk ser alle Apple-utviklede apper ut til å ignorere de fleste VPN- og brannmurregler fullstendig. Etter omfattende undersøkelser og tester lekker ikke OVPN-klienten data fra innebygde Apple-apper med killswitch aktivert. Andre apper som Tunnelblick, WireGuard og Viscosity gjør det.

Siden oppslagene gjøres ukryptert mot ocsp.apple.com kan du potensielt filtrere dem også direkte på en maskinvarebrannmur, for eksempel på ruteren din. Du kan også installere tredjeparts brannmurapplikasjoner som Little Snitch 5 for å blokkere disse forespørslene.

Vær oppmerksom på at blokkering av ocsp.apple.com kan føre til problemer med app-sertifikater siden Apple bruker det til å autentisere apper.

Apples svar

Apple har siden svart på kritikken ved å skissere nøyaktig hva sikkerhetsfunksjonen til Gatekeeper gjør.

Gatekeeper utfører online sjekker for å verifisere om en app inneholder kjent skadelig programvare og om utviklerens signeringssertifikat er tilbakekalt. Vi har aldri kombinert data fra disse sjekkene med informasjon om Apple-brukere eller deres enheter. Vi bruker ikke data fra disse kontrollene for å lære hva individuelle brukere starter eller kjører på enhetene sine. - Apple

De oppgir også at siden kritikken har de sluttet å logge Apple ID, IP-adresser og identiteten til hver enhet, og de har også sluttet å logge IP-adresser tilknyttet ID kontroller utført av Gatekeeper, og vil sikre at IP-adresser som er samlet tidligere, blir fjernet fra loggene.

De har også forpliktet seg til å gjøre noen forbedringer i løpet av det neste året ved å innføre flere endringer i sikkerhetskontrollene sine:

  • En ny kryptert protokoll for tilbakekallingssjekker for utvikler-ID-sertifikat
  • Sterk beskyttelse mot serverfeil
  • En ny preferanse som lar brukere å velge bort disse sikkerhetsbeskyttelsene

Selv om det for øyeblikket ikke er mulig å velge bort disse sikkerhetskontroller, er det likevel bra at Apple er åpen om problemet og jobber med å løse problemet ved å la brukerne velge selv.

Maximilian Holm