¬ŅApple realiza un seguimiento de todas las aplicaciones de Mac que ejecuta?

Una Mac parcialmente cerrada brillando en la oscuridad.

¬ŅTu Mac realmente llama a casa con Apple cada vez que inicias una aplicaci√≥n? Esa es la acusaci√≥n que circula despu√©s del 12 de octubre de 2020, cuando un servidor de Apple se volvi√≥ lento y las Mac modernas tardaron mucho en abrir aplicaciones. Explicaremos lo que est√° pasando.

Información: esto se aplica tanto a macOS Big Sur como a macOS Catalina . La desaceleración y las preocupaciones de privacidad asociadas no son nuevas en macOS Big Sur.

Por qué las aplicaciones de Mac están firmadas con certificados de desarrollador

En una Mac, las aplicaciones que descarga, ya sea desde la Mac App Store o desde la web, están firmadas con un certificado de desarrollador. Siempre que inicia una aplicación, la revisa para verificar que haya sido firmada por un desarrollador legítimo y que no haya sido manipulada. Esto ayuda a protegerte del malware.

Por ejemplo, cuando Mozilla crea Firefox, compila un archivo de aplicación de Firefox y luego lo firma con el certificado de desarrollador de Mozilla. Esta es la forma en que Mozilla demuestra que el archivo es legítimo y que Mozilla lo creó. Si posteriormente se manipula el archivo de la aplicación, su Mac notará la diferencia.

Estos certificados solo son v√°lidos por un cierto intervalo de tiempo, tal vez algunos a√Īos, pero pueden ‚Äúrevocarse‚ÄĚ anticipadamente. Por ejemplo, si Apple descubre que un desarrollador est√° usando su certificado para firmar aplicaciones maliciosas, Apple revoca el certificado. Las Mac no cargar√°n aplicaciones con ese certificado revocado.

OCSP explicado: ¬ŅPor qu√© su Mac Phone Home?

Pero espera, ¬Ņc√≥mo sabe tu Mac si Apple ha revocado un certificado asociado con una aplicaci√≥n en tu Mac? Para comprobarlo, su Mac utiliza algo llamado Protocolo de estado de certificado en l√≠nea u OCSP; tambi√©n lo utilizan los navegadores web para comprobar los certificados de sitios web mientras navega.

Cuando inicia una aplicación, su Mac envía información sobre su certificado a un servidor de Apple en ocsp.apple.com. Su Mac le pregunta a este servidor de Apple si el certificado ha sido revocado. Si no es así, su Mac inicia la aplicación. Si el certificado ha sido revocado, su Mac no iniciará la aplicación.

¬ŅSucede esto cada vez que inicia una aplicaci√≥n?

Su Mac recuerda estas respuestas durante un período de tiempo. El 12 de noviembre de 2020, las respuestas se almacenaron en caché durante cinco minutos; en otras palabras, si iniciara una aplicación, la cerrara y la iniciara nuevamente cuatro minutos después, su Mac no tendría que preguntarle a Apple sobre el certificado por segunda vez. Sin embargo, si inició una aplicación, la cerró y la lanzó seis minutos después, su Mac tendría que volver a preguntar a los servidores de Apple.

Por alguna razón, tal vez debido a cambios en macOS Big Sur, el servidor de Apple se inundó y se volvió muy lento el 12 de noviembre de 2020. Las respuestas se ralentizaron considerablemente y las aplicaciones tardaron mucho en cargar mientras las Mac esperaban pacientemente una respuesta de Apple servidor.

Despu√©s de ese evento, el servidor OSCP de Apple ahora le dice a las Mac que recuerden las respuestas de validez del certificado durante 12 horas. Tu Mac llamar√° a casa y te preguntar√° por un certificado cada vez que inicies una aplicaci√≥n, a menos que hayas recibido una respuesta en las √ļltimas 12 horas, en cuyo caso no ser√° necesario. (La informaci√≥n sobre per√≠odos de tiempo aqu√≠ proviene del desarrollador de aplicaciones independiente¬† Jeff Johnson ).

¬ŅQu√© pasa si una Mac est√° desconectada?

La verificaci√≥n OCSP est√° dise√Īada para fallar con gracia. Si est√° desconectado, su Mac omitir√° silenciosamente la verificaci√≥n e iniciar√° las aplicaciones normalmente.

Lo mismo ocurre si su Mac no puede alcanzar el servidor ocsp.apple.com, quizás porque la dirección del servidor se ha bloqueado en su red a nivel del enrutador . Si su Mac no puede comunicarse con el servidor, omite la verificación e inmediatamente inicia la aplicación.

El problema del 12 de noviembre de 2020 fue que, si bien las Mac podían llegar al servidor de Apple, el servidor en sí era lento. Pero en lugar de fallar silenciosamente y continuar con el lanzamiento de una aplicación, las Mac esperaron mucho tiempo por una respuesta. Si el servidor se hubiera caído por completo, nadie se habría dado cuenta.

¬ŅCu√°l es el riesgo de privacidad? ¬ŅQu√© aprende Apple?

Campus de Apple en Cupertino.

Hay varias preocupaciones de privacidad que la gente ha planteado aquí. Están detallados en la vertiginosa visión del hacker e investigador de seguridad  Jeffrey Paul de la situación .

  • Los certificados est√°n asociados con aplicaciones : cuando su Mac se pone en contacto con el servidor OCSP, le pregunta sobre un certificado que probablemente est√© asociado con una aplicaci√≥n o, quiz√°s, con un pu√Īado de aplicaciones. T√©cnicamente, su Mac no le dice a Apple qu√© aplicaci√≥n ha lanzado. Por ejemplo, si inicia Firefox, Apple se entera de que ha lanzado una aplicaci√≥n creada por Mozilla. Podr√≠a ser Firefox o Thunderbird, pero Apple no sabe cu√°l. Sin embargo, si inicia una aplicaci√≥n firmada por Tor Project, Apple puede tener una idea bastante clara de que ha abierto Tor Browser .
  • Las solicitudes est√°n asociadas con direcciones IP y horarios : estas solicitudes, por supuesto, pueden estar asociadas con una fecha y hora y su direcci√≥n IP . As√≠ es como funciona Internet. Su direcci√≥n IP est√° asociada a una determinada ciudad y estado. Cada solicitud de OCSP le dice a Apple el desarrollador que cre√≥ la aplicaci√≥n que est√° iniciando, su ubicaci√≥n general y la fecha y hora en la que inici√≥ la aplicaci√≥n.
  • La falta de cifrado significa que es posible espiar: el protocolo OCSP no est√° cifrado . Apple no solo obtiene esta informaci√≥n, cualquier persona en el medio tambi√©n puede ver esta informaci√≥n. Su proveedor de servicios de Internet, el administrador de la red del lugar de trabajo o incluso una agencia de espionaje que monitorea el tr√°fico de Internet podr√≠an escuchar a escondidas el tr√°fico OSCP entre usted y Apple y conocer todos estos detalles. Estas solicitudes tambi√©n pasan por una red de distribuci√≥n de contenido (CDN) de terceros llamada Akamai. Esto los acelera, pero agrega otro intermediario que t√©cnicamente podr√≠a fisgonear.

Información: su Mac no le dice a Apple qué aplicación está iniciando. En cambio, su Mac solo le dice a Apple qué desarrollador creó la aplicación que está lanzando. Por supuesto, muchos desarrolladores solo crean una aplicación. Esta distinción técnica a menudo no significa mucho.

(Recuerde: con el cambio al comportamiento de almacenamiento en caché, su Mac ya no le pregunta a Apple cada vez que inicia una aplicación. Solo lo hace cada 12 horas en lugar de cada 5 minutos).

¬ŅPor qu√© su Mac est√° haciendo esto?

Como era de esperar, se trata de seguridad. La Mac es una plataforma m√°s abierta que el iPad y el iPhone. Puede descargar aplicaciones desde cualquier lugar, incluso fuera de la Mac App Store de Apple.

Para proteger la Mac del malware, y s√≠, el malware de Mac se ha vuelto m√°s com√ļn, Apple implement√≥ este control de seguridad. Si se revoca un certificado utilizado para firmar una aplicaci√≥n, su Mac puede entrar en acci√≥n inmediatamente y negarse a abrir esa aplicaci√≥n. Esto le da a Apple el poder de evitar que las Mac lancen aplicaciones maliciosas conocidas.

¬ŅPuede bloquear los cheques OCSP?

Estas comprobaciones OCSP est√°n dise√Īadas para fallar r√°pida y silenciosamente cuando una Mac est√° fuera de l√≠nea o no puede contactar al servidor ocsp.apple.com.

Eso los hace fáciles de bloquear: simplemente evite que su Mac se conecte a ocsp.apple.com. Por ejemplo, a menudo puede bloquear esta dirección en su enrutador, evitando que todos los dispositivos de su red se conecten a él.

Desafortunadamente, parece que Big Sur ya no permite que los firewalls a nivel de software en la Mac bloqueen el proceso de confianza integrado de la Mac para que no acceda a servidores remotos como este.

Advertencia: si bloquea el servidor ocsp.apple.com, su Mac no notará cuando Apple haya revocado el certificado de desarrollador de una aplicación. Está eligiendo deshabilitar una función de seguridad y esto podría poner en riesgo su Mac.

¬ŅQu√© dice Apple y qu√© promete cambiar?

Un hombre que usa una MacBook con el "molinillo de la muerte" en la pantalla.

Apple parece haber escuchado las cr√≠ticas. El 16 de noviembre de 2020, la compa√Ī√≠a agreg√≥ informaci√≥n sobre ¬ęprotecciones de privacidad¬Ľ para Gatekeeper en su sitio web.

Primero, Apple dice que nunca ha combinado los datos de estos certificados o comprobaciones de malware con ning√ļn otro dato que Apple sepa sobre usted. La compa√Ī√≠a promete que no usa esta informaci√≥n para rastrear qu√© aplicaciones est√°n lanzando las personas en sus Mac.

En segundo lugar, Apple insiste en que estas comprobaciones de certificados no están asociadas con su ID de Apple ni con ninguna información específica del dispositivo más allá de su dirección IP. Apple dice que ha dejado de registrar direcciones IP asociadas con estas solicitudes y las eliminará de los registros de Apple.

Durante el pr√≥ximo a√Īo, en otras palabras, para fines de 2021, Apple dice que har√° estos cambios:

  • Reemplazar OCSP con un protocolo encriptado : Apple dice que crear√° un nuevo protocolo encriptado para reemplazar el sistema OCSP no encriptado para verificar certificados de desarrollador. Esto evitar√° que alguien en el medio esp√≠e.
  • Detenga las ralentizaciones : Apple tambi√©n promete ‚Äúfuertes protecciones contra fallos del servidor‚ÄĚ; en otras palabras, las aplicaciones no tardar√°n en cargarse porque un servidor se ralentiz√≥ de nuevo.
  • Brindar opciones a los usuarios : Apple dice que los usuarios de Mac podr√°n desactivar estas protecciones de seguridad y evitar que su Mac verifique los certificados de desarrollador revocados.

En general, estos cambios eliminarán varios problemas: los terceros ya no pueden fisgonear en el medio. Las Mac seguirán enviando información a Apple que puede usar para rastrear qué aplicaciones abres, pero Apple promete no asociar esa información contigo. Las ralentizaciones deben eliminarse ya que Apple también soluciona el problema de rendimiento.

¬ŅCu√°l ser√° este mejor protocolo? Bueno, Apple a√ļn no ha dicho con qu√© reemplazar√° a OCSP. Como se√Īala el investigador de seguridad¬† Scott Helme , algo como CRLite podr√≠a ayudar a enhebrar la aguja aqu√≠. Imag√≠nese si su Mac pudiera descargar un solo archivo de Apple y actualizarlo regularmente. El archivo contendr√≠a una lista comprimida de todas las revocaciones de certificados. Siempre que inicie una aplicaci√≥n, su Mac podr√≠a verificar el archivo, eliminando las verificaciones de red y los problemas de privacidad.

Su Mac a veces envía hash de aplicaciones a Apple

Por cierto, tu Mac a veces envía hashes de las aplicaciones que abres a los servidores de Apple. Esto es diferente de las comprobaciones de firma de OCSP. En cambio, tiene que ver con la notarización de Gatekeeper  .

Los desarrolladores pueden cargar aplicaciones en Apple, que las comprueba en busca de malware y luego las ‚Äúcertifica ante notario‚ÄĚ si parecen seguras. Esta informaci√≥n del boleto de notarizaci√≥n se puede ¬ęengrapar¬Ľ en la aplicaci√≥n. Si un desarrollador no engrapa la informaci√≥n del ticket en el archivo de la aplicaci√≥n, su Mac verificar√° con los servidores de Apple la primera vez que inicie esa aplicaci√≥n.

Esto solo ocurre la primera vez que inicia una versión determinada de una aplicación, no cada vez que se abre. Y el desarrollador puede eliminar el cheque en línea mediante el grapado.

Las Mac no son √ļnicas aqu√≠. Por ejemplo, las PC con Windows 10 a menudo cargan datos sobre las aplicaciones que descarga al servicio SmartScreen de Microsoft para buscar malware. Los programas antivirus y otras aplicaciones de seguridad tambi√©n pueden cargar informaci√≥n sobre aplicaciones de apariencia sospechosa a la empresa de seguridad.

Deja un comentario