Καθώς η Apple λανσάρισε το νέο macOS λογισμικό της στο ευρύ κοινό προχθές παρατηρήθηκαν σοβαρά προβλήματα στον server που οδήγησαν σε αποτυχία εγκατάστασης ή ακόμη και λήψης του νέου λογισμικού ενώ παράλληλα υπηρεσίες όπως τα iMessage και Apple Pay έπεσαν. Σαν να μην έφταναν όλα αυτά χρήστες είδαν προβλήματα στις αποδόσεις μηχανημάτων που είχαν εγκατεστημένο το macOS Catalina ή σε μηχανήματα που είχαν εγκατεστημένο παλαιότερο λογισμικό.
Σήμερα ένας ερευνητής ασφαλείας δίνει μια πιο ενδελεχή ματιά σε αυτό το θέμα που δημιουργήθηκε αναφέροντας επίσης ανησυχίες για θέματα ασφαλείας και ιδιωτικότητας στα Macs και ειδικά σε αυτά που θα έχουν τον νέο M1 επεξεργαστή.
Λίγο μετά λοιπόν την ευρεία διάθεση του macOS Big Sur στο ευρύ κοινό ξεκινήσαμε να έχουμε αναφορές για τεράστιους χρόνους καθυστέρησης στην λήψη του, προβλήματα στην εγκατάσταση του κ.α. Την ίδια στιγμή είδαμε το Apple Developer website να πέφτει και ακολούθησαν υπηρεσίες της Apple όπως iMessage, Apple Maps, Apple Pay, Apple Card και κάποιες υπηρεσίες που χρησιμοποιούν οι προγραμματιστές. Και τα προβλήματα δεν σταμάτησαν εκεί μιας και εφαρμογές τρίτων σε Macs που είχαν το Catalina ή παλαιότερες εκδόσεις σταμάτησαν να λειτουργούν ή είχαν πολύ αργή απόκριση.
Ο προγραμματιστής Jeff Johnson ήταν ο πρώτος που ανέφερε πως υπήρχε πρόβλημα στα Macs που συνδέονταν με τον Apple Server: OCSP. Εν συνεχεία ο προγραμματιστής Panic επιβεβαίωσε αυτό το γεγονός τονίζοντας παράλληλα πως το πρόβλημα είχε να κάνει με το Gatekeeper χαρακτηριστικό που ελέγχει και δίνει έγκριση σε μια εφαρμογή.
Σήμερα ο ερευνητής ασφαλείας Jeffry Paul κοινοποίησε ένα αναλυτικό άρθρο για το πραγματικά συνέβη με την ονομασία “Your Computer Isn’t Yours.”
“Στις νεότερες εκδόσεις του macOS απλά δεν ανοίγεις τον υπολογιστή στους ξεκινάς ένα πρόγραμμα επεξεργασίας κειμένου, διαβάζεις ή γράφεις χωρίς να μην υπάρχει μια καταγραφή από την ενέργεια σου αυτή που αποστέλλεται και αποθηκεύεται. Όπως αποδεικνύεται στην τωρινή έκδοση του macOS το λογισμικό στέλνει ένα hash – μοναδικό αναγνωριστικό – για κάθε πρόγραμμα που τρέχει ο χρήστης όταν το τρέχει. Πολλοί χρήστες δεν το αντιλαμβάνονται αυτό γιατί παραμένει στο παρασκήνιο. Αυτή η ενέργεια σταματάει όταν κάποιος χρήστης βγει offline.”
Συνεχίζει αναφέροντας το τι βλέπει η Apple από αυτή την διαδικασία τονίζοντας πως η Apple ξέρει πότε είστε στο σπίτι, πότε είστε στην δουλειά σας καθώς και ποιες εφαρμογές ανοίγετε και πόσο συχνά:
Because it does this using the internet, the server sees your IP, of course, and knows what time the request came in. An IP address allows for coarse, city-level and ISP-level geolocation, and allows for a table that has the following headings:
Date, Time, Computer, ISP, City, State, Application HashThis means that Apple knows when you’re at home. When you’re at work. What apps you open there, and how often. They know when you open Premiere over at a friend’s house on their Wi-Fi, and they know when you open Tor Browser in a hotel on a trip to another city.
O Paul συνεχίζει αναφέροντας πως κάποιος μπορεί να πει και εμένα τι με ενδιαφέρει. Απαντάει εξηγώντας πως οι OCSP αυτές καταγραφές δεν είναι κρυπτογραφημένες και δεν είναι μόνο η Apple που έχει πρόσβαση σε αυτές.
1. These OCSP requests are transmitted unencrypted. Everyone who can see the network can see these, including your ISP and anyone who has tapped their cables.
2. These requests go to a third-party CDN run by another company, Akamai.
3. Since October of 2012, Apple is a partner in the US military intelligence community’s PRISM spying program, which grants the US federal police and military unfettered access to this data without a warrant, any time they ask for it. In the first half of 2019 they did this over 18,000 times, and another 17,500+ times in the second half of 2019.
This data amounts to a tremendous trove of data about your life and habits, and allows someone possessing all of it to identify your movement and activity patterns. For some people, this can even pose a physical danger to them.
Ο ίδιος αναφέρει πως υπάρχει τρόπος ο χρήστης να μην δίνει αυτές τις πληροφορίες προς τα έξω με ένα πρόγραμμα για Mac που ονομάζεται Little Snitch χωρίς όμως να γνωρίζει αν θα είναι συμβατό με την νεότερη έκδοση του macOS. Πραγματικά αξίζει να διαβάσετε όλο το άρθρο εδώ.
