В macOS обнаружили функцию, которая ставит под удар конфиденциальность пользователей

17 ноября 2020

13 ноября, в четверг, Apple начала распространять обновление macOS Big Sur для своих компьютеров. В этот же день у пользователей старых macOS возникли проблемы с работой приложений. Компания рассказала о причинах.

Источник изображения: Pinterest

Источник изображения: Pinterest

Проблемы возникли из-за трудностей в подключении к серверу, который используется для службы подписи приложений Gatekeeper. Спустя некоторое время, немецкий хакер и исследователь в области компьютерной безопасности Джеффри Пол опубликовал в своём блоге пост, где выразил обеспокоенность используемой Apple технологией. По его словам, трафик, который отправляют компьютеры Mac на серверы Apple, проходит по незашифрованному протоколу HTTP и может содержать в себе IP-адреса, а также хеши и данные используемых приложений.

Источник изображения:Sync-computers

Источник изображения:Sync-computers

«В актуальных версиях macOS каждое ваше действие — будь то запуск компьютера, открытие текстового редактора или чтение электронной почты отправляется на удалённый сервер. Оказывается, что в macOS Mojave и выше служба Gatekeeper отправляет в Apple хеш (уникальный идентификатор) каждой программы, которую вы открываете. До произошедшего сбоя пользователи просто не знали о его присутствии в системе, так как он работает в скрытом режиме и не функционирует, когда у вас нет подключения к интернету», — написал Джеффри Пол в своей статье «Ваш компьютер не ваш».

Он продолжает объяснять, какие данные Apple может получать благодаря Gatekeeper: «Поскольку данный алгоритм работает через интернет-сервер, компания, конечно же, получает информацию о вашем IP-адресе и фиксирует время, в которое поступил запрос. Знание IP-адреса позволяет определить вашу геолокацию на уровне населённого пункта, в котором вы находитесь. А также определять следующие параметры: дату, время, хеш приложения. Выходит, что Apple знает, когда вы находитесь дома, а когда на работе. Какие приложения вы открываете и как часто. К примеру, они могут знать о том, что вы используете Premiere, когда приходите к своим друзьям и подключаетесь к их Wi-Fi. В Apple могут знать, что вы открываете Tor Browser, когда приезжаете в определённый город и останавливаетесь в любимом отеле».

Также обеспокоенность Джеффа вызывает то, что запросы Online certificate status protocol (OCSP) передаются по незашифрованному протоколу и могут быть в теории прочитаны третьими лицами. 

Источник изображения:Tumblr

Источник изображения:Tumblr

Другой независимый специалист в области безопасности Якопо Янноне (Jacopo Jannone) рассказал, почему OCSP не использует HTTPS-подключение: «Дело в том, что данный алгоритм применяется не только для проверки сертификатов приложений, но ещё и сертификатов подключения. Поэтому, если вам было бы нужно проверить сертификат приложения, перед этим пришлось бы проверить сертификат HTTPS-подключения, однако для этой проверки нужно создать новую сессию проверки через HTTPS, а для проверки новой — другую. Процесс бы зациклился и в итоге не работал».

Apple отреагировала на данное заявление, пояснив, что компания не собирает пользовательские данные во время проверок безопасности и удаляет информацию об IP-адресах из журналов проверок. Компания планирует внести в macOS несколько изменений, касающихся безопасности, в течение следующего года. В их числе называются:

  • новый зашифрованный протокол для проверки сертификатов;
  • защита серверов от фатальных сбоев;
  • возможность заблокировать работу Gatekeeper и запретить передачу данных о приложениях на удалённые серверы.

3dnews

Хочешь узнать больше - читай отзывы

← Вернуться на предыдущую страницу

Читайте также:

Стали відомі 5 ознак раннього початку хвороби Альцгеймера у віці 40, 50 і 60 років 6 июля 2026

Деменція може вражати людей у віці 40, 50 і 60 років. Стан відомий як хвороба…

Експерти розвінчали головні міфи про боротьбу з перегрівом в спеку 6 июля 2026

Британське видання The Telegraph назвало найгірші і кращі способи боротьби з перегрівом тіла в спеку.…

Чи можна пити холодний квас у спеку 6 июля 2026

Цей напій чудово втамовує спрагу, він має багато корисних властивостей, але деяким людям його вживати не варто.У спекотні дні дуже хочеться пити побільше холодних напоїв, а квас чудово охолоджує і відновлює водний баланс в організмі. До того ж, напій має купу вітамінів, які корисні для нашого здоров...

 

Вас могут заинтересовать эти отзывы

Вася 4.1
Вася

Отзывов: 1

Лео-шоп 0.2
Лео-шоп

Отзывов: 1

Каталог отзывов





×

Выберите область поиска

  • Авто
  • Одяг / аксесуари
  • Роботодавці
  • Інше