¿Apple realiza un seguimiento de todas las aplicaciones de Mac que ejecuta?

Una Mac parcialmente cerrada brillando en la oscuridad.

¿Tu Mac realmente llama a casa con Apple cada vez que inicias una aplicación? Esa es la acusación que circula después del 12 de octubre de 2020, cuando un servidor de Apple se volvió lento y las Mac modernas tardaron mucho en abrir aplicaciones. Explicaremos lo que está pasando.

Información: esto se aplica tanto a macOS Big Sur como a macOS Catalina . La desaceleración y las preocupaciones de privacidad asociadas no son nuevas en macOS Big Sur.

Por qué las aplicaciones de Mac están firmadas con certificados de desarrollador

En una Mac, las aplicaciones que descarga, ya sea desde la Mac App Store o desde la web, están firmadas con un certificado de desarrollador. Siempre que inicia una aplicación, la revisa para verificar que haya sido firmada por un desarrollador legítimo y que no haya sido manipulada. Esto ayuda a protegerte del malware.

Por ejemplo, cuando Mozilla crea Firefox, compila un archivo de aplicación de Firefox y luego lo firma con el certificado de desarrollador de Mozilla. Esta es la forma en que Mozilla demuestra que el archivo es legítimo y que Mozilla lo creó. Si posteriormente se manipula el archivo de la aplicación, su Mac notará la diferencia.

Estos certificados solo son válidos por un cierto intervalo de tiempo, tal vez algunos años, pero pueden “revocarse” anticipadamente. Por ejemplo, si Apple descubre que un desarrollador está usando su certificado para firmar aplicaciones maliciosas, Apple revoca el certificado. Las Mac no cargarán aplicaciones con ese certificado revocado.

OCSP explicado: ¿Por qué su Mac Phone Home?

Pero espera, ¿cómo sabe tu Mac si Apple ha revocado un certificado asociado con una aplicación en tu Mac? Para comprobarlo, su Mac utiliza algo llamado Protocolo de estado de certificado en línea u OCSP; también lo utilizan los navegadores web para comprobar los certificados de sitios web mientras navega.

Cuando inicia una aplicación, su Mac envía información sobre su certificado a un servidor de Apple en ocsp.apple.com. Su Mac le pregunta a este servidor de Apple si el certificado ha sido revocado. Si no es así, su Mac inicia la aplicación. Si el certificado ha sido revocado, su Mac no iniciará la aplicación.

¿Sucede esto cada vez que inicia una aplicación?

Su Mac recuerda estas respuestas durante un período de tiempo. El 12 de noviembre de 2020, las respuestas se almacenaron en caché durante cinco minutos; en otras palabras, si iniciara una aplicación, la cerrara y la iniciara nuevamente cuatro minutos después, su Mac no tendría que preguntarle a Apple sobre el certificado por segunda vez. Sin embargo, si inició una aplicación, la cerró y la lanzó seis minutos después, su Mac tendría que volver a preguntar a los servidores de Apple.

Por alguna razón, tal vez debido a cambios en macOS Big Sur, el servidor de Apple se inundó y se volvió muy lento el 12 de noviembre de 2020. Las respuestas se ralentizaron considerablemente y las aplicaciones tardaron mucho en cargar mientras las Mac esperaban pacientemente una respuesta de Apple servidor.

Después de ese evento, el servidor OSCP de Apple ahora le dice a las Mac que recuerden las respuestas de validez del certificado durante 12 horas. Tu Mac llamará a casa y te preguntará por un certificado cada vez que inicies una aplicación, a menos que hayas recibido una respuesta en las últimas 12 horas, en cuyo caso no será necesario. (La información sobre períodos de tiempo aquí proviene del desarrollador de aplicaciones independiente  Jeff Johnson ).

¿Qué pasa si una Mac está desconectada?

La verificación OCSP está diseñada para fallar con gracia. Si está desconectado, su Mac omitirá silenciosamente la verificación e iniciará las aplicaciones normalmente.

Lo mismo ocurre si su Mac no puede alcanzar el servidor ocsp.apple.com, quizás porque la dirección del servidor se ha bloqueado en su red a nivel del enrutador . Si su Mac no puede comunicarse con el servidor, omite la verificación e inmediatamente inicia la aplicación.

El problema del 12 de noviembre de 2020 fue que, si bien las Mac podían llegar al servidor de Apple, el servidor en sí era lento. Pero en lugar de fallar silenciosamente y continuar con el lanzamiento de una aplicación, las Mac esperaron mucho tiempo por una respuesta. Si el servidor se hubiera caído por completo, nadie se habría dado cuenta.

¿Cuál es el riesgo de privacidad? ¿Qué aprende Apple?

Campus de Apple en Cupertino.

Hay varias preocupaciones de privacidad que la gente ha planteado aquí. Están detallados en la vertiginosa visión del hacker e investigador de seguridad  Jeffrey Paul de la situación .

  • Los certificados están asociados con aplicaciones : cuando su Mac se pone en contacto con el servidor OCSP, le pregunta sobre un certificado que probablemente esté asociado con una aplicación o, quizás, con un puñado de aplicaciones. Técnicamente, su Mac no le dice a Apple qué aplicación ha lanzado. Por ejemplo, si inicia Firefox, Apple se entera de que ha lanzado una aplicación creada por Mozilla. Podría ser Firefox o Thunderbird, pero Apple no sabe cuál. Sin embargo, si inicia una aplicación firmada por Tor Project, Apple puede tener una idea bastante clara de que ha abierto Tor Browser .
  • Las solicitudes están asociadas con direcciones IP y horarios : estas solicitudes, por supuesto, pueden estar asociadas con una fecha y hora y su dirección IP . Así es como funciona Internet. Su dirección IP está asociada a una determinada ciudad y estado. Cada solicitud de OCSP le dice a Apple el desarrollador que creó la aplicación que está iniciando, su ubicación general y la fecha y hora en la que inició la aplicación.
  • La falta de cifrado significa que es posible espiar: el protocolo OCSP no está cifrado . Apple no solo obtiene esta información, cualquier persona en el medio también puede ver esta información. Su proveedor de servicios de Internet, el administrador de la red del lugar de trabajo o incluso una agencia de espionaje que monitorea el tráfico de Internet podrían escuchar a escondidas el tráfico OSCP entre usted y Apple y conocer todos estos detalles. Estas solicitudes también pasan por una red de distribución de contenido (CDN) de terceros llamada Akamai. Esto los acelera, pero agrega otro intermediario que técnicamente podría fisgonear.

Información: su Mac no le dice a Apple qué aplicación está iniciando. En cambio, su Mac solo le dice a Apple qué desarrollador creó la aplicación que está lanzando. Por supuesto, muchos desarrolladores solo crean una aplicación. Esta distinción técnica a menudo no significa mucho.

(Recuerde: con el cambio al comportamiento de almacenamiento en caché, su Mac ya no le pregunta a Apple cada vez que inicia una aplicación. Solo lo hace cada 12 horas en lugar de cada 5 minutos).

¿Por qué su Mac está haciendo esto?

Como era de esperar, se trata de seguridad. La Mac es una plataforma más abierta que el iPad y el iPhone. Puede descargar aplicaciones desde cualquier lugar, incluso fuera de la Mac App Store de Apple.

Para proteger la Mac del malware, y sí, el malware de Mac se ha vuelto más común, Apple implementó este control de seguridad. Si se revoca un certificado utilizado para firmar una aplicación, su Mac puede entrar en acción inmediatamente y negarse a abrir esa aplicación. Esto le da a Apple el poder de evitar que las Mac lancen aplicaciones maliciosas conocidas.

¿Puede bloquear los cheques OCSP?

Estas comprobaciones OCSP están diseñadas para fallar rápida y silenciosamente cuando una Mac está fuera de línea o no puede contactar al servidor ocsp.apple.com.

Eso los hace fáciles de bloquear: simplemente evite que su Mac se conecte a ocsp.apple.com. Por ejemplo, a menudo puede bloquear esta dirección en su enrutador, evitando que todos los dispositivos de su red se conecten a él.

Desafortunadamente, parece que Big Sur ya no permite que los firewalls a nivel de software en la Mac bloqueen el proceso de confianza integrado de la Mac para que no acceda a servidores remotos como este.

Advertencia: si bloquea el servidor ocsp.apple.com, su Mac no notará cuando Apple haya revocado el certificado de desarrollador de una aplicación. Está eligiendo deshabilitar una función de seguridad y esto podría poner en riesgo su Mac.

¿Qué dice Apple y qué promete cambiar?

Un hombre que usa una MacBook con el "molinillo de la muerte" en la pantalla.

Apple parece haber escuchado las críticas. El 16 de noviembre de 2020, la compañía agregó información sobre «protecciones de privacidad» para Gatekeeper en su sitio web.

Primero, Apple dice que nunca ha combinado los datos de estos certificados o comprobaciones de malware con ningún otro dato que Apple sepa sobre usted. La compañía promete que no usa esta información para rastrear qué aplicaciones están lanzando las personas en sus Mac.

En segundo lugar, Apple insiste en que estas comprobaciones de certificados no están asociadas con su ID de Apple ni con ninguna información específica del dispositivo más allá de su dirección IP. Apple dice que ha dejado de registrar direcciones IP asociadas con estas solicitudes y las eliminará de los registros de Apple.

Durante el próximo año, en otras palabras, para fines de 2021, Apple dice que hará estos cambios:

  • Reemplazar OCSP con un protocolo encriptado : Apple dice que creará un nuevo protocolo encriptado para reemplazar el sistema OCSP no encriptado para verificar certificados de desarrollador. Esto evitará que alguien en el medio espíe.
  • Detenga las ralentizaciones : Apple también promete “fuertes protecciones contra fallos del servidor”; en otras palabras, las aplicaciones no tardarán en cargarse porque un servidor se ralentizó de nuevo.
  • Brindar opciones a los usuarios : Apple dice que los usuarios de Mac podrán desactivar estas protecciones de seguridad y evitar que su Mac verifique los certificados de desarrollador revocados.

En general, estos cambios eliminarán varios problemas: los terceros ya no pueden fisgonear en el medio. Las Mac seguirán enviando información a Apple que puede usar para rastrear qué aplicaciones abres, pero Apple promete no asociar esa información contigo. Las ralentizaciones deben eliminarse ya que Apple también soluciona el problema de rendimiento.

¿Cuál será este mejor protocolo? Bueno, Apple aún no ha dicho con qué reemplazará a OCSP. Como señala el investigador de seguridad  Scott Helme , algo como CRLite podría ayudar a enhebrar la aguja aquí. Imagínese si su Mac pudiera descargar un solo archivo de Apple y actualizarlo regularmente. El archivo contendría una lista comprimida de todas las revocaciones de certificados. Siempre que inicie una aplicación, su Mac podría verificar el archivo, eliminando las verificaciones de red y los problemas de privacidad.

Su Mac a veces envía hash de aplicaciones a Apple

Por cierto, tu Mac a veces envía hashes de las aplicaciones que abres a los servidores de Apple. Esto es diferente de las comprobaciones de firma de OCSP. En cambio, tiene que ver con la notarización de Gatekeeper  .

Los desarrolladores pueden cargar aplicaciones en Apple, que las comprueba en busca de malware y luego las “certifica ante notario” si parecen seguras. Esta información del boleto de notarización se puede «engrapar» en la aplicación. Si un desarrollador no engrapa la información del ticket en el archivo de la aplicación, su Mac verificará con los servidores de Apple la primera vez que inicie esa aplicación.

Esto solo ocurre la primera vez que inicia una versión determinada de una aplicación, no cada vez que se abre. Y el desarrollador puede eliminar el cheque en línea mediante el grapado.

Las Mac no son únicas aquí. Por ejemplo, las PC con Windows 10 a menudo cargan datos sobre las aplicaciones que descarga al servicio SmartScreen de Microsoft para buscar malware. Los programas antivirus y otras aplicaciones de seguridad también pueden cargar información sobre aplicaciones de apariencia sospechosa a la empresa de seguridad.

Deja un comentario