Apple tiene traccia di ogni app Mac che esegui? Ti spieghiamo OCSP

Mac
Seguici su Google News

E’ vero che il tuo Mac si collega ad Apple ogni volta che avvii un'app? Le testimonianze raccolte sul web lasciano propendere per questa considerazione.

Questa è infatti una “voce” che circola dal 12 ottobre 2020, quando i server Apple sono diventati lenti e i Mac moderni hanno impiegato molto tempo per aprire le app. Questo discorso vale sia per macOS Big Sur che per macOS Catalina. Il rallentamento e i problemi di privacy associati non sono nuovi in ​​macOS Big Sur.

Sei curioso di scoprire cosa sta accadendo? Te lo spieghiamo nel nostro articolo.

Ecco perchè le app per Mac sono firmate con certificati per sviluppatori

Mac

Ogni app scaricata su Mac dal Mac App Store o dal Web, è firmata con un certificato per sviluppatore che controlla l'app per verificare che sia stata firmata da uno sviluppatore legittimo e che non sia stata manomessa. Questa procedura viene effettuata ogni volta che avvii un'app in modo da  proteggerti da malware.

Ad esempio, quando Mozilla ha creato Firefox, ha compilato l'applicazione Firefox accompagnandola con il certificato di sviluppatore di Mozilla. In questo modo, Mozilla dimostra che il file è legittimo ed è stato creato da lei e non da altre persone. Il tuo Mac noterà la differenza nel caso in cui il file dell'applicazione venga manomesso, bloccandone l'esecuzione.

Questi certificati sono validi solo a tempo determinato, molti hanno una durata di alcuni anni ma possono essere "revocati" in anticipo. Ad esempio, se Apple scopre che uno sviluppatore sta utilizzando il proprio certificato per firmare app dannose, glielo revoca immediatamente. Il risultato di questa revoca sarà che i Mac non caricheranno più le app con quel certificato revocato.

OCSP: perché il tuo Mac si “collega” ad Apple?

Ti starai ponendo una domanda legittima: come fa il tuo Mac a sapere se Apple ha revocato un certificato associato a un'app? Per controllare questa informazione, il tuo Mac utilizza l’Online Certificate Status Protocol (OCSP) che viene anche utilizzato dai browser web per controllare i certificati del sito durante la navigazione.

Quando avvii un'app, il tuo Mac invia le informazioni sul suo certificato a un server Apple, nello specifico ocsp.apple.com. Il tuo Mac chiede a questo server Apple se il certificato è stato revocato. Se non lo è, il Mac avvia l'app. Invece, se il certificato è stato revocato, il tuo Mac non avvierà l'app.

Tutto ciò accade ogni volta che avvii un'app?

Il Mac è in grado di “ricordare” queste risposte per un periodo di tempo. Il giorno 12 novembre 2020, le risposte venivano memorizzate nella cache per cinque minuti. Questo ha una conseguenza logica: se tu avviassi un’app, la chiudessi e la avviassi ancora quattro minuti dopo, il tuo Mac non dovrebbe chiedere nuovamente ad Apple il certificato. Il discorso è ovviamente diverso nella seguente ipotesi: qualora tu avviassi un'app, la chiudessi e la avviassi ancora sei minuti dopo, il tuo Mac dovrebbe "rifare la domanda" ai server Apple. Sono passati più di 5 minuti!

Il 12 novembre 2020, per qualche motivo particolare (forse a causa di modifiche in macOS Big Sur) il server di Apple è stato sommerso di richieste ed è diventato molto lento. Troppe richieste hanno determinato un “effetto a catena”: le risposte di Apple hanno tardato ad arrivare e, ovviamente, le app hanno impiegato molto tempo per caricarsi. Nel frattempo, i Mac (e i loro utenti) erano lì ad aspettare con impazienza la risposta del server.

E’ bastato questo evento particolare per spingere Apple a cambiare la policy e i tempi di risposta del sistema: dopo il 12 novembre 2020, infatti, il server OSCP di Apple "ordina" ai Mac di ricordare le risposte di validità del certificato per 12 ore.

Pertanto ora il tuo Mac chiederà un certificato ogni volta che avvii un'app, a meno che tu non abbia ricevuto una risposta nelle ultime 12 ore: in questo caso, non sarà necessario.

Cosa succede se un Mac non è in linea?

Se sei offline, il tuo Mac salterà il controllo e avvierà le app normalmente. Stesso discorso vale se il Mac non riesce a raggiungere il server ocsp.apple.com: la macchina, in questa ipotesi, salterà il controllo e avvierà subito l'app.

Il problema presentatosi il giorno 12 novembre 2020 era un po’ diverso: i Mac riuscivano a raggiungere il server Apple ma il server era lento. Ogni Mac, invece di “accettare” il fallimento e di andare avanti con il lancio dell’app, ha aspettato a lungo una risposta. Se il server fosse stato completamente inattivo, nessuno se ne sarebbe accorto.

Qual è il rischio per la privacy? Cosa memorizza Apple?

Apple sede

Gli utenti Apple hanno sollevato diversi problemi di privacy. Innanzitutto, i certificati sono associati alle app: quando il tuo Mac contatta il server OCSP, chiede un certificato che è probabilmente associato a un'app o, forse, a più applicazioni. In ogni caso, Mac non "avvisa" Apple fornendogli informazioni dettagliate sull'app che hai avviato. In poche parole, Apple non sa quale app stai avviando: ad esempio, se avvii Firefox, Apple saprà soltato che hai avviato un'app creata da Mozilla ma non quale: Firefox o Thunderbird? Apple non lo sa. Tuttavia, se avvii un'app firmata da Tor Project, Apple può avere un'idea abbastanza chiara che hai aperto Tor, il browser utilizzato soprattutto da giornalisti  e oppositori politici in paesi non democratici.

Le richieste sono associate a indirizzi IP e orari: queste richieste possono, ovviamente, essere associate a una data, ad un orario e al tuo indirizzo IP. E non è finita qui poichè il tuo indirizzo IP è associato a una determinata città e Stato. Ciò ha una conseguenza: in ogni richiesta OCSP, Apple sa chi è lo sviluppatore che ha creato l'app che stai avviando, la tua posizione generale, la data e l'ora in cui hai avviato l'app.

Inoltre, il protocollo OCSP non è crittografato: ciò vuol dire che è possibile il fenomeno dello snooping. Non solo Apple riceve le informazioni di cui sopra ma, chiunque sia coinvolto nella procedura, può accedervi. Per intenderci: anche l'amministratore della rete del tuo datore di lavoro oppure un'agenzia di spionaggio che monitora il traffico Internet sono potenzialmente in grado di intercettare il traffico OSCP tra te e Apple e apprendere tutti questi dettagli.

Queste richieste passano anche attraverso una rete di distribuzione di contenuti (CDN) di terze parti denominata Akamai. Si tratta di un passaggio che velocizza enormemente le richieste ma che aggiunge un altro intermediario che potrebbe tecnicamente curiosare tra i tuoi dati.

Perché il tuo Mac effettua tutti questi passaggi?

La risposta è chiara: lo fa per garantire la sicurezza. Il Mac è una piattaforma più “aperta” rispetto a iPad e iPhone: con Mac puoi scaricare app da qualsiasi luogo, anche al di fuori del Mac App Store di Apple.

Ecco perché Apple ha implementato questo controllo di sicurezza. L’intento è chiaro: proteggere il Mac dai malware. Se viene revocato un certificato utilizzato per firmare un'app, allora il tuo Mac può immediatamente rifiutarsi di aprire l'app. Ciò dà ad Apple il potere di impedire ai Mac di avviare app che sono diventate dannose.

Si possono bloccare i controlli OCSP?

Lo abbiamo precisato in precedenza: i controlli OCSP sono progettati per fallire in maniera rapida e silenziosa (in molti casi non te ne accorgerai nemmeno) quando un Mac è offline oppure quando non riesce a contattare il server ocsp.apple.com.

Questo meccanismo di funzionamento rende i controlli OCSP molto semplici da bloccare: ti basterà impedire al tuo Mac di connettersi a ocsp.apple.com. A tal scopo, puoi bloccare questo indirizzo sul tuo router, impedendo a tutti i dispositivi collegati alla tua rete di connettersi ad esso. La cattiva notizia è che, a quanto pare, questo non è più possibile con Big Sur.

Ovviamente, se blocchi il server ocsp.apple.com, il tuo Mac non si accorgerà quando Apple ha revocato il certificato per sviluppatori di un'app. Ciò perchè hai disabilitato una funzione di sicurezza e questa disabilitazione potrebbe mettere a rischio il tuo Mac.

Che cosa cambierà Apple?

Mac cambiamenti

Apple ha raccolto in maniera attiva tutte le critiche degli utenti.  Il 16 novembre 2020, la società ha aggiunto informazioni sulla "protezione della privacy" per Gatekeeper sul proprio sito web.

In primo luogo, Apple ha affermato di non aver mai combinato i dati dei controlli dei certificati con altri dati che Apple conosce su di te. L'azienda ha inoltre promesso che non utilizzerà mai queste informazioni per tenere traccia delle app che le persone stanno avviando sui Mac.

In secondo luogo, Apple insiste sul fatto che i controlli dei certificati non sono associati all’ID Apple degli utenti oppure a qualsiasi altra informazione specifica del dispositivo oltre al tuo indirizzo IP. Apple ha dichiarato di aver interrotto la registrazione degli indirizzi IP associati a queste richieste e che li rimuoverà dai registri di Apple.

Come cambierà OCSP

Apple ha affermato, inoltre, che entro la fine del 2021 implementerà le seguenti modifiche:

  • OCSP verrà sostituito con un protocollo crittografato. Apple afferma che creerà un nuovo protocollo crittografato per sostituire il sistema OCSP non crittografato per il controllo dei certificati degli sviluppatori. Un’ottima notizia perché ciò eliminerà alla radice il fenomeno dello snooping.
  • Basta con i rallentamenti. Apple promette di implementare anche una incisiva protezione dell’utente contro i guasti del server:  in altre parole, non accadrà più che un’app è lenta da caricare perché il server ha rallentato di nuovo.
  • Dare la possibilità agli utenti di scegliere: Apple afferma che gli utenti Mac saranno in grado di disattivare queste protezioni di sicurezza e di impedire al loro Mac di verificare la presenza di certificati per sviluppatori revocati.

E’ chiaro che, nel complesso, queste modifiche eliminano diversi problemi: primi tra tutti, le terze parti non possono più conoscere e raccogliere le tue "informazioni" nel corso del processo di verifica. I Mac invieranno comunque le informazioni ad Apple per tenere traccia delle app che apri ma queste informazioni non saranno mai associate a te.

L'alternativa ad OCSP

Quale sarà il protocollo migliore? Ebbene, Apple non ci ha ancora fatto sapere quale sarà il protocollo con cui sostituirà OCSP. Il ricercatore di sicurezza Scott Helme ha affermato che qualcosa come CRLite potrebbe aiutare a risolvere ogni problema.

Certo, sarebbe bello se ogni Mac potesse scaricare un singolo file da Apple e poi potesse andarlo ad aggiornare in maniera regolare. Questo file conterrebbe un elenco compresso di tutte le eventuali revoche dei certificati. Ciò garantirebbe una più snella procedura: quando avvii un'app, il Mac non dovrebbe far altro che controllare il file, eliminando alla radice tutti i possibili rallentamenti sul server e i problemi relativi alla privacy degli utenti.

Seguici su Telegram per ricevere le migliori offerte tech
Argomenti:

Chi siamo?

OutOfBit è un progetto nato nel Maggio 2013 da un’idea di Vittorio Tiso e Khaled Hechmi. Il progetto nasce per creare un sito di blogging che sappia differenziarsi ed appagare il lettore al fine di renderlo parte fondamentale del blog stesso.
Entra nello staff
COPYRIGHT © 2023 OUTOFBIT P.IVA 04140830243, TUTTI I DIRITTI RISERVATI.
crossmenu linkedin facebook pinterest youtube rss twitter instagram facebook-blank rss-blank linkedin-blank pinterest youtube twitter instagram