Apple weet wanneer je slaapt ... en rapporteert wanneer je wakker bent

Published on 14 November 2020 at 10:22

Een serververtraging die samenviel met de lancering van het nieuwe Mac-besturingssysteem, Big Sur, zorgt voor grote opschudding over privacy.

Apple-gebruikers meldden trage en niet-reagerende computers op 12 november, dezelfde dag dat het nieuwe Mac-besturingssysteem werd gelanceerd.
Apple-servers werden schijnbaar overspoeld met verzoeken van individuele computers.
De serverfout bracht een lacune in de privacy aan het licht, waardoor niet-versleutelde gegevens door externe partijen konden worden bekeken.
Dat geluid dat je donderdagmiddag hoorde, was het collectieve gekreun van een miljoen Mac-gebruikers die hun supersnelle computers opnieuw opstartten terwijl Apple worstelde met een schijnbare serverstoring.

 

 

De vertraging viel (al dan niet toevallig) samen met de introductie van het nieuwe besturingssysteem van Apple, Big Sur, maar Mac-gebruikers die het nieuwste besturingssysteem met Californië-thema nog moesten installeren, hadden ook moeite om hun apps correct te laten werken.

 

 

Ironisch genoeg, hoewel Apple neigt naar pro-privacy retoriek en Big Sur beweert privacyverbeteringen door te voeren, bracht het probleem een ​​groter probleem aan het licht met betrekking tot niet-versleutelde gegevens.

 

 

Volgens Mac-ontwikkelaar Jeff Johnson konden Macs geen verbinding maken met een server die verband houdt met het online certificaatstatusprotocol (OCSP), dat wordt gebruikt om te controleren of een digitaal certificaat geldig is. Apple-servers konden de serververzoeken niet bijhouden.

 

 

In een samenvatting van het probleem zei beveiligingsonderzoeker Jeffrey Paul dat de mislukking van gisteren een privacyprobleem blootlegde dat er al was:

“Het blijkt dat in de huidige versie van macOS het besturingssysteem naar Apple een hash (unieke identificatie) stuurt van elk programma dat je uitvoert, wanneer je het uitvoert. Veel mensen wisten dit niet, omdat het stil en onzichtbaar is en het onmiddellijk en gracieus mislukt als je offline bent, maar vandaag werd de server erg traag en kwam het niet op het fail-fast codepad terecht, en de apps van iedereen faalden om te openen als ze waren verbonden met internet. "

 

 

Dus als u online bent, weet Apple welke apps u gebruikt. Bovendien verzendt het onversleutelde OSCP-verzoeken, die internetproviders kunnen zien. 

 

 

Privacyfout gevonden in Apple, Google COVID-Tracing Framework
In april werkten technologiegiganten Apple en Google samen om hun aanzienlijke gecombineerde middelen in te zetten voor de ontwikkeling van een COVID-19-traceeroplossing. Voor degenen die zich aanmelden, wordt de tracer automatisch geinstaleerd...

 

 

Matthew Hardeman, een softwareontwikkelaar en netwerkingenieur, zei : "Elke Mac met recente macOS-releases stuurt OCSP-vragen naar Apple, in ieder geval in de standaardconfiguraties."

 

 

Via het Gatekeeper-systeem "checkt macOS prospectief in, wanneer u een toepassing probeert te starten, om te zien of Apple hun beoordeling van de veiligheid van de software die u probeert te starten, heeft geraden."

 

 

Dit brengt verschillende privacyproblemen met zich mee. Ten eerste, omdat uw computer uw IP moet verzenden om met Apple te communiceren, betekent dit dat Apple uw IP-adres en de applicatie die u probeert te gebruiken, kan zien. Ten tweede gebruikt OCSP niet-versleutelde HTTP-communicatie, dus "elke entiteit met zichtbaarheid op uw macOS-computer kan deze gegevens ook observeren en / of loggen."

 

 

Hoewel hij zei dat het in de meeste gevallen geen grote zorg is, zei Hardeman: "Ik denk dat iedereen het waarschijnlijk niet leuk vindt dat derden kunnen zien dat je een applicatie start en dat ze mogelijk kunnen onderscheiden welke applicatie."

 

 

Afgaande op de reactie op het artikel van Paul op Crypto Twitter, was het inderdaad een punt van zorg:

Hardeman suggereerde dat Apple min of meer een standaardprotocol gebruikt zoals het bedoeld is - en dat de meeste mensen er baat bij hebben. Hij riep Apple echter op om de bugs op te lossen die "gisteren tot chaos hebben geleid".

 

 

Bovendien, als Apple zo toegewijd is aan privacy als het zegt, is de standaard misschien niet langer goed genoeg.

 

Team Coinpower


«   »

Add comment

Comments

There are no comments yet.