Il Mac non è tuo e telefona a casa, Apple spiega che non è vero
Quando si lancia una applicazione sul Mac viene effettuata una verifica sul relativo certificato dello sviluppatore, ma giovedì scorso, quando è stato rilasciato macOS Big Sur , probabilmente per un sovraccarico di richieste, il server OCSP di Apple che ha il compito di effettuare questa operazione non era raggiungibile, e molti utenti hanno segnalato l’impossibilità di aprire le applicazioni se collegati ad Internet.
Poco dopo, il ricercatore di sicurezza Jeffrey Paul ha condiviso un articolo sul suo blog intitolato “Il tuo computer non è tuo“, sollevando problemi di privacy e sicurezza relativi ai Mac che “telefonavano a casa” al server OCSP di Apple. In breve, Paul ha affermato che il traffico OCSP generato da macOS non è crittografato e potrebbe essere potenzialmente visto dagli ISP o persino dalle forze armate statunitensi.
Apple è intervenuta immediatamente sulla questione aggiornando il suo documento di supporto “Aprire in sicurezza le app su Mac” aggiungendo il paragrafo “Protezione della privacy”:
“macOS è stato progettato per proteggere gli utenti e i loro dati nel rispetto della loro privacy.
Gatekeeper esegue controlli online per verificare se un’app contiene malware noto e se il certificato di firma dello sviluppatore è stato revocato. Non abbiamo mai combinato i dati di questi controlli con le informazioni sugli utenti Apple o sui loro dispositivi. Non utilizziamo i dati di questi controlli per apprendere ciò che i singoli utenti stanno avviando o eseguendo sui propri dispositivi.
L’autenticazione controlla se l’app contiene malware noto utilizzando una connessione crittografata resiliente agli errori del server.
Questi controlli di sicurezza non hanno mai incluso l’ID Apple dell’utente o l’identità del suo dispositivo. Per proteggere ulteriormente la privacy, abbiamo interrotto la registrazione degli indirizzi IP associati ai controlli dei certificati dell’ID sviluppatore e ci assicureremo che tutti gli indirizzi IP raccolti vengano rimossi dai registri.”
Apple chiarisce che i dati specifici dell’utente non vengono raccolti durante il controllo di sicurezza e che prevede di rimuovere tutte le informazioni IP dai log. Inoltre, Cupertino ha intenzione di introdurre diverse modifiche al sistema nel prossimo anno, tra cui:
– un nuovo protocollo crittografato per i controlli di revoca del certificato ID sviluppatore
– maggiori protezioni contro i guasti del server
– una nuova preferenza per rinunciare a queste protezioni di sicurezza
Alcuni utenti hanno chiesto di poter bloccare il traffico verso i server di autenticazione di Apple, ma sembra che Apple fornirà questa opzione solo in futuro.
1 Comment
Rinunciare alle impostazioni di sicurezza. Nooooo!!!! (meglio che resti un’opzione ben nascosta, magari sono da terminale per evitare i problemi agli utenti meno smanettoni)
Comunque il progetto PRISM, di cui Apple fa parte
(https://it.wikipedia.org/wiki/PRISM_(programma_di_sorveglianza))
penso non guardi se i dati siano crittografati, consideri come un valore la privacy, ecc. ecc.