周四中午你听到的声音是100万Mac用户集体呻吟着重启他们超慢的电脑,而苹果正在为一次明显的服务器故障而挣扎
这一放缓与苹果新操作系统BigSur的推出同时出现(无论是否巧合),但尚未安装最新加州主题操作系统的Mac用户也难以使其应用程序正常运行。
具有讽刺意味的是,尽管苹果倾向于使用支持隐私权的言论,Big Sur也声称将增强隐私权,但这一问题凸显了一个更大的未加密数据问题。
Mac开发人员jeffjohnson称,Mac无法连接到与在线证书状态协议(OCSP)相关的服务器,OCSP用于确保数字证书有效。苹果服务器无法跟上服务器的请求。
😅看起来,当应用程序启动时,由于苹果服务器不堪重负,Gatekeeper无法通过互联网检查其有效性。所以,呃,让我们都坚持住!你知道了,苹果devops!
-恐慌(@Panic)2020年11月12日
安全研究员Jeffrey Paul在回顾这个问题时说,昨天的失败暴露了一个已经存在的隐私问题:
“事实证明,在当前版本的macOS中,当你运行每一个程序时,操作系统都会向苹果发送一个hash(唯一标识符)。很多人没有意识到这一点,因为它是无声的,看不见的,当你离线时,它会立即优雅地失败,但今天服务器变得非常慢,它没有达到快速失败的代码路径,而且每个人的应用程序都无法打开,如果它们连接到互联网。”
所以,当你上网时,苹果知道你在用什么应用。此外,它还发送未加密的OSCP请求,互联网服务提供商可以看到这些请求。(\u Decrypt_u联系到苹果征求意见,但尚未收到回复。)
在Apple、Google COVID跟踪框架中发现隐私漏洞
软件开发人员和网络工程师Matthew Hardeman告诉《解密》:“每台运行最新macOS版本的Mac电脑都会以默认配置向苹果发送OCSP查询。”
通过它的Gatekeeper系统,“当你尝试启动一个应用程序时,macOS会前瞻性地进行检查,看看苹果是否对你要发布的软件的安全性做出了猜测。”
这带来了一些隐私问题。首先,因为你的计算机必须发送你的IP地址才能与苹果通信,这意味着苹果可以看到你的IP地址和你试图使用的应用程序。其次,OCSP使用未加密的HTTP通信,因此“任何对基于macOS的计算机具有可见性的实体也可以观察和/或记录这些事实。”
尽管他说在大多数情况下这不是一个主要的问题,但Hardeman告诉Decrypt_u,“我认为每个人都不喜欢第三方能够观察到您正在启动一个应用程序,并且他们可能能够识别出哪个应用程序。”
从保罗在Crypto Twitter上发表文章的反应来看,这确实令人担忧:
非常关注新苹果操作系统的隐私问题https://t.co/SWTyLUdkjq这太糟糕了
-Vinay Gupta(@免费)2020年11月13日
我不想对我所有的苹果朋友这么说。它得到这个只是时间问题坏的.https://t.co/sYzLTIVG4h
—lightco.in.公司(@lightcoin)2020年11月13日
立即升级至macOS big sur
你的电脑坏了,因为我们没有检查我们的间谍软件!
-乔希·辛辛那提(@acityinohio)2020年11月13日
Hardeman暗示苹果或多或少地使用了一种行业标准的协议,因为它是用来使用的,而且大多数人都从中受益。然而,他呼吁苹果公司修复那些“导致昨天所有人尖叫”的错误
此外,如果苹果像它所说的那样致力于隐私保护,那么这个标准可能就不够好了。