Il rilascio di macOS Big Sur non è andato come Apple sperava e diversi utenti hanno riscontrato problemi nel download e nell’installazione. I server Apple non hanno retto e questo ha provocato problemi anche sulle precedenti versioni di macOS, scatenando non pochi dubbi sulla sicurezza e sulla protezione della privacy. È davvero così?
A seguito del rilascio di macOS Big Sur, molti utenti Mac hanno iniziato a riscontrare problemi con l’apertura di app se connessi a Internet, anche su macOS Catalina e versioni precedenti. La pagina di status dei sistemi Apple ha attribuito la situazione a problemi con il servizio Developer ID e in particolare con i server OCSP.
Poco dopo, il ricercatore di sicurezza Jeffrey Paul ha condiviso un post sul blog intitolato “Il tuo computer non è tuo“, in cui sollevava dubbi sulla protezione della privacy e di sicurezza relativi ai Mac che “comunicano diversi dati ai server OCSP di Apple“. In breve, Paul ha affermato che il traffico OCSP generato da macOS non è crittografato e potrebbe essere potenzialmente visto dagli ISP o persino dagli enti militari negli Stati Uniti:
Nelle versioni moderne di macOS, non puoi semplicemente accendere il computer, avviare un editor di testo o un lettore di eBook e scrivere o leggere, senza che venga trasmesso e archiviato un registro della tua attività. Si scopre che nella versione corrente di macOS, il sistema operativo invia ad Apple un hash (identificatore univoco) di ogni programma che esegui, quando lo esegui. Molte persone non se ne rendevano conto, perché il processo è silenzioso e invisibile e lavora istantaneamente e con grazia quando sei offline, ma ieri il server è diventato molto lento e non ha raggiunto l’obiettivo in modo veloce, per questo le app di tutti gli utenti si aprivano lentamente se era attiva una connessione a Internet.
Poiché Apple esegue questa operazione utilizzando Internet, il server vede il tuo IP, ovviamente, e sa a che ora è arrivata la richiesta. Un indirizzo IP consente la geolocalizzazione grossolana, a livello di città e a livello di ISP, e condivide una tabella con le seguenti intestazioni: Data, ora, computer, ISP, città, stato, hash dell’applicazione.
Ciò significa che Apple sa quando sei a casa. Quando sei al lavoro. Quali app apri nei vari posti e con quale frequenza. Sanno quando apri Premiere a casa di un amico sul loro Wi-Fi e sanno quando apri Tor Browser in un hotel durante un viaggio in un’altra città.
Le richieste OCSP non sono crittografate e non è solo Apple ad avere accesso ai dati: queste richieste vengono trasmesse in chiaro. Tutti coloro che possono vedere la rete possono vederli, incluso il tuo ISP e chiunque abbia collegato i propri cavi.
Paul ha poi aggiunto che questo sistema probabilmente è stato rimosso con macOS Big Sur.
Dopo queste accuse, Apple ha risposto alla questione aggiornando il suo documento di supporto “Aprire in sicurezza le app su Mac” e aggiungendo nuove informazioni sulla protezione della privacy:
macOS è stato progettato per proteggere gli utenti e i loro dati nel rispetto della privacy.
Gatekeeper esegue controlli online per verificare se un’app contiene malware noti e se il certificato di firma dello sviluppatore è stato revocato. Non abbiamo mai combinato i dati di questi controlli con le informazioni sugli utenti Apple o sui loro dispositivi. Non utilizziamo i dati di questi controlli per apprendere ciò che i singoli utenti stanno avviando o eseguendo sui propri dispositivi.
L’autenticazione controlla se l’app contiene malware noto utilizzando una connessione crittografata resistente a qualsiasi problema lato server.
Questi controlli di sicurezza non hanno mai incluso l’ID Apple dell’utente o l’identità del suo dispositivo. Per proteggere ulteriormente la privacy, abbiamo interrotto la registrazione degli indirizzi IP associati ai controlli dei certificati ID sviluppatore e faremo in modo che tutti gli indirizzi IP raccolti vengano rimossi dai registri.
Apple chiarisce che i dati specifici dell’utente non vengono raccolti durante il controllo di sicurezza e che prevede di rimuovere tutte le informazioni IP dai log. Inoltre, l’azienda prevede di introdurre diverse modifiche al sistema nei prossimi mesi:
- Un nuovo protocollo crittografato per i controlli di revoca del certificato ID sviluppatore
- Ulteriori protezioni contro i guasti dei server
- Una nuova opzione per gli utenti che potranno rinunciare a queste protezioni di sicurezza
E voi, avete ancora problemi nell’aggiornare a macOS Big Sur?