Apple пересмотрит методы подтверждения приложений на Mac
В Apple планируют пересмотреть способ проверки надежности приложений Mac при их запуске. На прошлой неделе из-за проблем с сервером после установки новой версии ОС macOS Big Sur пользователи не могли запускать сторонние приложения.
В понедельник Apple внесла изменения на своей странице поддержки Gatekeeper, чтобы решить проблемы конфиденциальности, к которым привел сбой. Gatekeeper — это системная утилита, которая проверяет, что сертификат разработчика приложения действителен, прежде чем позволит пользователю запустить программу. Этот процесс проверки включает в себя обращение к серверам Apple для проверки статуса задействованных сертификатов, но, если эти серверы выйдут из строя, люди не могут запустить свои программные пакеты.
Кроме того, при проверке сертификатов macOS на внутренние серверы Apple отправляется проверяемый цифровой отпечаток — хэш — разработчика приложения. Это происходит через обычный протокол HTTP. Получается, что Apple, а также любое третье лицо, могут узнать, какими приложениями пользуется конкретный человек.
Теперь в Apple отменили отправку идентификаторов Apple ID или идентификаторов устройств по сети. Технический гигант пообещал больше не хранить эту информацию и заявил, что внедрит дополнительные улучшения конфиденциальности.
«Чтобы еще больше защитить конфиденциальность, мы прекратили регистрацию IP-адресов, связанных с проверками сертификатов Developer ID, и гарантируем, что все собранные IP-адреса будут удалены из журналов», — заявила Apple.
Также компания планирует внедрить зашифрованный протокол для проверки отзыва сертификатов идентификатора разработчика, предпринять шаги по повышению отказоустойчивости своих серверов и предоставить пользователям механизм отказа.
Одной из отказавших на прошлой неделе служб была Online Certificate Status Protocol (OCSP), которая выполняет проверку сертификации разработчика: показывает, действителен ли сертификат.
Как отметил Джефф Джонсон, руководитель компании Lapcat Software по разработке приложений, если возникает проблема с подключением к Интернету, связанная с OCSP-сервером, это может препятствовать запуску приложений на Mac.
В четверг в течение нескольких часов пользователи Mac по всему миру столкнулись с крайне медленной работой установленных приложений. Сообщалось, что приложения сетевой фильтрации не справляются со своими задачами из-за изменений API в macOS Big Sur.
Патрик Уордл, главный исследователь безопасности в Jamf и основатель Objective-See, отметил, что в Big Sur Apple требует, чтобы сторонние брандмауэры и VPN на основе приложений использовали сетевой мониторинг и программные интерфейсы прокси, которые перекрываются трафиком из собственных приложений Apple.
Он объяснил, что различные интерфейсы программирования ядра (KPI), ранее доступные разработчикам для мониторинга сети, использовать больше не разрешается. Официально одобренные API-интерфейсы, NEFilterDataProvider и NEAppProxyProvider, не позволяют сторонним приложениям брандмауэра, таким как Little Snitch от Objective Development или LuLu от Objective-See, или VPN на основе приложений блокировать запросы OCSP или другие процессы.
См. также: