Tuesday, November 24, 2020

Μια ενδελεχή ματιά στο πρόσφατο πρόβλημα του server της Apple αποκαλύπτει ανησυχία για την ιδιωτικότητα και ασφάλεια των χρηστών

Καθώς η Apple λανσάρισε το νέο macOS λογισμικό της στο ευρύ κοινό προχθές παρατηρήθηκαν σοβαρά προβλήματα στον server που οδήγησαν σε αποτυχία εγκατάστασης ή ακόμη και λήψης του νέου λογισμικού ενώ παράλληλα υπηρεσίες όπως τα iMessage και Apple Pay έπεσαν. Σαν να μην έφταναν όλα αυτά χρήστες είδαν προβλήματα στις αποδόσεις μηχανημάτων που είχαν εγκατεστημένο το macOS Catalina ή σε μηχανήματα που είχαν εγκατεστημένο παλαιότερο λογισμικό.

Σήμερα ένας ερευνητής ασφαλείας δίνει μια πιο ενδελεχή ματιά σε αυτό το θέμα που δημιουργήθηκε αναφέροντας επίσης ανησυχίες για θέματα ασφαλείας και ιδιωτικότητας στα Macs και ειδικά σε αυτά που θα έχουν τον νέο M1 επεξεργαστή.

Λίγο μετά λοιπόν την ευρεία διάθεση του macOS Big Sur στο ευρύ κοινό ξεκινήσαμε να έχουμε αναφορές για τεράστιους χρόνους καθυστέρησης στην λήψη του, προβλήματα στην εγκατάσταση του κ.α. Την ίδια στιγμή είδαμε το Apple Developer website να πέφτει και ακολούθησαν υπηρεσίες της Apple όπως iMessage, Apple Maps, Apple Pay, Apple Card και κάποιες υπηρεσίες που χρησιμοποιούν οι προγραμματιστές. Και τα προβλήματα δεν σταμάτησαν εκεί μιας και εφαρμογές τρίτων σε Macs που είχαν το Catalina ή παλαιότερες εκδόσεις σταμάτησαν να λειτουργούν ή είχαν πολύ αργή απόκριση.

Ο προγραμματιστής Jeff Johnson ήταν ο πρώτος που ανέφερε πως υπήρχε πρόβλημα στα Macs που συνδέονταν με τον Apple Server: OCSP. Εν συνεχεία ο προγραμματιστής Panic επιβεβαίωσε αυτό το γεγονός τονίζοντας παράλληλα πως το πρόβλημα είχε να κάνει με το Gatekeeper χαρακτηριστικό που ελέγχει και δίνει έγκριση σε μια εφαρμογή.

Σήμερα ο ερευνητής ασφαλείας Jeffry Paul κοινοποίησε ένα αναλυτικό άρθρο για το πραγματικά συνέβη με την ονομασία “Your Computer Isn’t Yours.”

“Στις νεότερες εκδόσεις του macOS απλά δεν ανοίγεις τον υπολογιστή στους ξεκινάς ένα πρόγραμμα επεξεργασίας κειμένου, διαβάζεις ή γράφεις χωρίς να μην υπάρχει μια καταγραφή από την ενέργεια σου αυτή που αποστέλλεται και αποθηκεύεται. Όπως αποδεικνύεται στην τωρινή έκδοση του macOS το λογισμικό στέλνει ένα hash – μοναδικό αναγνωριστικό – για κάθε πρόγραμμα που τρέχει ο χρήστης όταν το τρέχει. Πολλοί χρήστες δεν το αντιλαμβάνονται αυτό γιατί παραμένει στο παρασκήνιο. Αυτή η ενέργεια σταματάει όταν κάποιος χρήστης βγει offline.”

Συνεχίζει αναφέροντας το τι βλέπει η Apple από αυτή την διαδικασία τονίζοντας πως η Apple ξέρει πότε είστε στο σπίτι, πότε είστε στην δουλειά σας καθώς και ποιες εφαρμογές ανοίγετε και πόσο συχνά:

Because it does this using the internet, the server sees your IP, of course, and knows what time the request came in. An IP address allows for coarse, city-level and ISP-level geolocation, and allows for a table that has the following headings:

Date, Time, Computer, ISP, City, State, Application Hash

This means that Apple knows when you’re at home. When you’re at work. What apps you open there, and how often. They know when you open Premiere over at a friend’s house on their Wi-Fi, and they know when you open Tor Browser in a hotel on a trip to another city.

O Paul συνεχίζει αναφέροντας πως κάποιος μπορεί να πει και εμένα τι με ενδιαφέρει. Απαντάει εξηγώντας πως οι OCSP αυτές καταγραφές δεν είναι κρυπτογραφημένες και δεν είναι μόνο η Apple που έχει πρόσβαση σε αυτές.

1. These OCSP requests are transmitted unencrypted. Everyone who can see the network can see these, including your ISP and anyone who has tapped their cables.

2. These requests go to a third-party CDN run by another company, Akamai.

3. Since October of 2012, Apple is a partner in the US military intelligence community’s PRISM spying program, which grants the US federal police and military unfettered access to this data without a warrant, any time they ask for it. In the first half of 2019 they did this over 18,000 times, and another 17,500+ times in the second half of 2019.

This data amounts to a tremendous trove of data about your life and habits, and allows someone possessing all of it to identify your movement and activity patterns. For some people, this can even pose a physical danger to them.

Ο ίδιος αναφέρει πως υπάρχει τρόπος ο χρήστης να μην δίνει αυτές τις πληροφορίες προς τα έξω με ένα πρόγραμμα για Mac που ονομάζεται Little Snitch χωρίς όμως να γνωρίζει αν θα είναι συμβατό με την νεότερη έκδοση του macOS. Πραγματικά αξίζει να διαβάσετε όλο το άρθρο εδώ.

Στέφανος Κολοβός
O Στέφανος είναι Ηλεκτρολόγος Μηχανικός και έχει ένα πραγματικό έρωτα με την Apple. Ασχολείται με την τεχνολογία από μικρό παιδί. Αγαπημένη του συσκευή είναι το Apple Watch του που δεν το αποχωρίζεται ποτέ, ενώ λατρεύει το ποδόσφαιρο και το σινεμά.

Δεν μπορείτε να χρησιμοποιήσετε 2 HomePod mini ως stereo Mac ηχεία και αυτό είναι...

Τώρα που το HomePod mini έχουν κάνει την εμφάνιση τους στην αγορά μπορεί να σκέφτεστε κάτι πολύ απλό όπως και εμείς - Θα αποτελούσαν...

Φήμη: H Apple δεν θα κάνει συμβατά τα iPhone 6s και το πρώτο iPhone...

Μια νέα αναφορά θέλει την Apple να σταματάει την υποστήριξη λογισμικού για τα iPhone SE, iPhone 6s και iPhone 6s Plus του χρόνου όταν...

O Craig Federighi αναφέρει πως τα Windows μπορούν να τρέξουν κανονικά στα M1 Macs...

Αν και η αρχική μετάβαση στο Apple Silicon είναι εντυπωσιακά ομαλή για τα πρώτα M1 Macs, ένα μεγάλο ερωτηματικό παραμένει και έχει να κάνει...

Τα υψηλόβαθμα στελέχη της Apple αναφέρουν πως το AR έχει μια τεράστια δυναμική στις...

Η Apple συνέχισε να εστιάζει και φέτος στην επαυξημένη πραγματικότητα προσθέτοντας τους LiDAR scanners στα iPhone 12 Pro, iPhone 12 Pro Max και iPad...

Για πρώτη φορά το HomePod έγινε jailbroken με το checkra1n εργαλείο

Όταν οι περισσότεροι χρήστες σκέφτονται ένα jailbreak εργαλείο όπως το checkra1n, σίγουρα έρχονται στο μυαλό τους συσκευές όπως τα iPhones, iPod Touch, iPads και Apple...

Διανομέας κούριερ αποφάσισε να το σκάσει με 14 iPhone 12 Pro Max αξίας 23.000...

Μια μοναδική ιστορία μας έρχεται σήμερα από την Κίνα όπου διανομέας αποφάσισε να κρατήσει για τον εαυτό του 14 iPhone 12 Pro Max συσκευές...