安全動(dòng)態(tài)

蘋(píng)果回應(yīng)macOS隱私問(wèn)題 解釋為何應(yīng)用打開(kāi)緩慢原因
來(lái)源:聚銘網(wǎng)絡(luò)    發(fā)布時(shí)間:2020-11-17    瀏覽次數(shù):
 

信息來(lái)源:Cnbeta

由于蘋(píng)果的在線證書(shū)狀態(tài)協(xié)議(OCSP)服務(wù)器宕機(jī),導(dǎo)致在 Mac 設(shè)備上無(wú)法打開(kāi)第三方應(yīng)用,更令人擔(dān)憂(yōu)的是這可能會(huì)泄漏用戶(hù)隱私信息。現(xiàn)在蘋(píng)果對(duì)“在 Mac 上安全地打開(kāi)應(yīng)用”支持文檔進(jìn)行了更新,并進(jìn)一步提供了隱私保護(hù)方面的相關(guān)措施。


公司表示“門(mén)禁(Gatekeeper)執(zhí)行在線審查,以驗(yàn)證應(yīng)用程序是否包含已知的惡意軟件,以及開(kāi)發(fā)人員的簽名證書(shū)是否被撤銷(xiāo)。我們從未將這些檢查的數(shù)據(jù)和蘋(píng)果用戶(hù)或者他們的設(shè)備捆綁。我們不會(huì)使用這些檢查的數(shù)據(jù)來(lái)了解個(gè)人用戶(hù)在其設(shè)備上啟動(dòng)或運(yùn)行的內(nèi)容”。

蘋(píng)果進(jìn)一步強(qiáng)調(diào):“公證檢查應(yīng)用程序是否包含已知的惡意軟件,使用的是對(duì)服務(wù)器故障有彈性的加密連接。這些安全檢查從未包含用戶(hù)的Apple ID或其設(shè)備的身份。為了進(jìn)一步保護(hù)隱私,我們已經(jīng)停止記錄與開(kāi)發(fā)者ID證書(shū)檢查相關(guān)的IP地址,我們將確保從日志中刪除任何收集到的IP地址”。

此外蘋(píng)果還承諾在接下來(lái)的一年時(shí)間里,將會(huì)對(duì)安全檢查進(jìn)行一些調(diào)整,具體來(lái)說(shuō)包括

● 一個(gè)針對(duì)開(kāi)發(fā)者 ID 的全新加密協(xié)議,用于驗(yàn)證該 ID 是否被撤銷(xiāo)

● 強(qiáng)大的保護(hù)措施,防止服務(wù)器故障

● 用戶(hù)可以選擇不接受這些安全保護(hù)的新偏好

蘋(píng)果還向外媒 iPhoneincanada 提供了一些更詳細(xì)的技術(shù)信息。證書(shū)撤銷(xiāo)檢查的發(fā)生是為了驗(yàn)證用于簽署應(yīng)用的開(kāi)發(fā)者ID證書(shū)是否被公司撤銷(xiāo)。此舉對(duì)安全至關(guān)重要,因?yàn)槿绻_(kāi)發(fā)者懷疑證書(shū)被第三方泄露,或者被用于簽署惡意應(yīng)用,證書(shū)可能會(huì)被撤消。

在 macOS 系統(tǒng)中,使用行業(yè)標(biāo)準(zhǔn)的在線證書(shū)狀態(tài)協(xié)議(OCSP)來(lái)驗(yàn)證給開(kāi)發(fā)者 ID 代碼簽署的證書(shū)是否已經(jīng)被撤銷(xiāo)。這個(gè) OCSP 請(qǐng)求并不包含任意用戶(hù)的 Apple ID,在設(shè)備或者應(yīng)用啟動(dòng)中也不會(huì)泄漏。

蘋(píng)果表示,由于 OCSP 用于檢查其他證書(shū),包括用于加密網(wǎng)絡(luò)連接的證書(shū),因此這些請(qǐng)求是通過(guò)未加密的 HTTP 發(fā)生的,這在整個(gè)行業(yè)中是正常的。

據(jù)蘋(píng)果公司稱(chēng),HTTP 用于防止驗(yàn)證確保連接到 OCSP 服務(wù)器的證書(shū)的有效性有可能取決于向同一 OCSP 服務(wù)器發(fā)出的請(qǐng)求的結(jié)果,從而形成一個(gè)循環(huán),導(dǎo)致無(wú)法解決請(qǐng)求的情況。

蘋(píng)果表示,在 macOS Catalina 及以后的版本上,默認(rèn)情況下,所有運(yùn)行的應(yīng)用都會(huì)被公司進(jìn)行公證,以說(shuō)明它們已經(jīng)被蘋(píng)果公司檢查過(guò),是否有已知的惡意軟件。

當(dāng)一個(gè)應(yīng)用啟動(dòng)時(shí),macOS 會(huì)檢查驗(yàn)證該應(yīng)用自首次公證以來(lái),是否沒(méi)有被蘋(píng)果標(biāo)注為惡意軟件。這些檢查是通過(guò)加密連接發(fā)生的--而且對(duì)服務(wù)器故障有一定的彈性。這也是為何前幾天開(kāi)發(fā)者會(huì)看到他們的應(yīng)用程序卡死,需要很長(zhǎng)時(shí)間才能啟動(dòng)。

是什么原因?qū)е翺CSP服務(wù)器出現(xiàn)問(wèn)題?蘋(píng)果表示,這是由于服務(wù)器端的錯(cuò)誤配置,特別是干擾了macOS能夠?yàn)殚_(kāi)發(fā)者ID緩存OCSP響應(yīng)。這個(gè)配置錯(cuò)誤,以及一個(gè)不相關(guān)的內(nèi)容傳輸網(wǎng)絡(luò)(CDN)的錯(cuò)誤配置,是導(dǎo)致應(yīng)用程序啟動(dòng)性能緩慢的原因。

蘋(píng)果表示它已經(jīng)通過(guò)服務(wù)器端更新修復(fù)了這一性能問(wèn)題,現(xiàn)在將允許macOS在更長(zhǎng)的時(shí)間內(nèi)緩存開(kāi)發(fā)者ID OCSP檢查,macOS用戶(hù)不需要做任何事情就能從蘋(píng)果的這一更新中受益。



 
 

上一篇:“雙11”刷單刷量頻現(xiàn) 直播新規(guī)直指數(shù)據(jù)“注水”

下一篇:2020年11月17日聚銘安全速遞