Op het moment dat macOS 11.0 Big Sur uitkwam was de interesse zo groot dat Apple de vraag nauwelijks aankon, waardoor andere services bijna bezweken onder de druk. Men had die vraag natuurlijk verwacht en ongetwijfeld werd er vooraf al heel erg veel extra bandbreedte ingezet.

Maar toen dat gebeurde bleek er een extra bijeffect te zijn, sommige gebruikers konden hun apps niet meer opstarten. Dat kwam door problemen met Apple’s Online Certificate Status Protocol-server, de server waarbij het ingebouwde Gatekeeper tijdens het opstarten van apps kijkt of alles daar wel mee in de haak is. Veiligheids-onderzoeker Jeffrey Paul was daar helemaal niet blij mee, en schreef het stuk Your Computer Isn't Yours, waarvan de titel de lading van zijn stuk prima dekt.



In dat stuk deelt hij zijn ontdekking dat de data die naar Apple’s OCSP-server verstuurd wordt niet versleuteld is, en daar zouden kwaadwillenden (als ze erg hard hun best deden) wel het een en ander uit af kunnen leiden. Zo kunnen ze weten wanneer je online bent, wat voor computer je daarbij gebruikt, welke provider je hebt, waar je ongeveer zit en welk programma je aan het opstarten bent.

Het is niet honderd procent zeker sinds wanneer deze Gatekeeper-check in macOS zit, voor zover na te gaan zou het voor het eerst zijn verschenen in macOS 10.14 Mojave.

Apple heeft inmiddels gereageerd door een support-pagina hierover online te zetten. Die link is trouwens naar de Engelstalige pagina, want de Nederlandse versie is verouderd en er zitten foutjes in (die al gemeld zijn).

Privacy protections
macOS has been designed to keep users and their data safe while respecting their privacy.
Gatekeeper performs online checks to verify if an app contains known malware and whether the developer’s signing certificate is revoked. We have never combined data from these checks with information about Apple users or their devices. We do not use data from these checks to learn what individual users are launching or running on their devices.

Notarization checks if the app contains known malware using an encrypted connection that is resilient to server failures.

These security checks have never included the user’s Apple ID or the identity of their device. To further protect privacy, we have stopped logging IP addresses associated with Developer ID certificate checks, and we will ensure that any collected IP addresses are removed from logs.

In addition, over the the next year we will introduce several changes to our security checks:

• A new encrypted protocol for Developer ID certificate revocation checks
• Strong protections against server failure
• A new preference for users to opt out of these security protections

Met andere woorden, het wordt niet alleen uitgelegd door Apple, ze beloven ook beterschap wat betreft de versleuteling en in het komend jaar krijgen we een aparte instelling hiervoor in macOS, zodat we zelf hier de controle over krijgen.

Prima, maar het zou natuurlijk een stuk beter zijn geweest als Apple zelf bij de start dit allemaal meteen al zo veilig mogelijk had geïmplementeerd. Wil je meer hierover lezen dan is dit artikel beslist de moeite van het lezen waard, dat geeft prima tegenwicht tegen het stuk van Jeffrey Paul. En voor meer discussie over dit onderwerp kan je hier terecht.


met dank aan forumlid 'puk1980', die dit nieuws als eerste meldde op het forum



#macOS #Gatekeeper

Een belangrijke kanttekening bij het stuk van Jeffrey Paul is de reactie daarop van Jacopo Jannone, een Italiaanse cybersecurity student:

https://blog.jacopo.io/en/post/apple-ocsp/

Hier werd door puk1980 al eerder naar verwezen. Dit stuk haalt de kern van het Jeffrey Paul artikel onderuit ('No, macOS does not send Apple a hash of your apps each time you run them'). Bovendien legt hij uit waarom er inj bepaalde gevallen unencrypted gegevens verstuurd moeten worden:

There is usually a good reason for this, that becomes especially clear when the OCSP service is used for web browsers: preventing loops. If you used HTTPS for checking a certificate with OCSP then you would need to also check the certificate for the HTTPS connection using OCSP. That would imply opening another HTTPS connection and so on.

Goed om zijn stuk ook even te lezen in dit verband. Het feit dat Apple er zo uitgebreid op reageert geeft aan dat er wel degelijk iets te verbeteren valt.

@boiing: je was iets te snel voor me. Had me al gerealiseerd dat dat er ook bij moest en had de extra tekst al klaar staan (maar er kwam wat tussen).

Laat nog eens zien welk niveau we hier halen als we allemaal op deze manier samenwerken..!   

Top! Ik was wat snel inderdaad, had me hier toevallig een beetje in verdiept de afgelopen dagen dus het floepte zo uit m'n toetsenbord

Privacy en alles wat daarmee samenhangt  is de laatste tijd erg in de belangstellling komen te staan; en dat zal voorlopig nog wel zo blijven ook. Misschien een idee om hier een aparte afdeling van het forum aan te wijden?

Gerucht: VPN deels omzeilt door Big Sur?
Wat is er bij jullie al over bekend?

Meestal weten 'wij' niet meer dan we op internet lezen.. Het staat los van het Gatekeeper probleem uit het nieuwsartikel maar er staat in het stuk van Jeffrey Paul wel iets over, mét een doorklik-link. Hier nog een artikel met dezelfde strekking:

https://thenextweb.com/plugged/2020/11/16/apple-apps-on-big-sur-bypass-firewalls-vpns-analysis-macos/

Maar weer even afwachten hoe dit zich ontwikkelt, het is in ieder geval geen gerucht maar een constatering. Het gaat zo te zien om heel specifiek verkeer naar de App Store, niet je hele VPN verbinding.

Gerucht: VPN deels omzeilt door Big Sur?
Wat is er bij jullie al over bekend?
Op internet staan diverse artikelen.
Iemand al iets zelf ontdekt? VPN verbergt je locatie niet meer?

Leesbril op? V.w.b. je laatste regel: er valt verder weinig zelf te ontdekken, dit 'benne de feite' voorlopig. Als er verkeer langs de VPN verbinding gaat ben je uiteraard niet meer volledig anoniem, maar dan ga je er vanuit dat je afgeluisterd zou worden. Het ligt er een beetje aan voor welk doel je een VPN gebruikt in hoeverre dit relevant is voor je.

Geen echte geheimzinnige dingen voor mij, maar vanuit buitenland krijg je niet altijd contact met een TV kanaal omdat dit alleen werkt vanuit Nederland zelf. Zoals je natuurlijk weet kan je dan de VPN op Nederland zetten. Ben benieuwd of dat met Big Sur nog steeds werkt. Kan het nu niet even proberen.

Dat zal naar verwachting gewoon werken want dat verkeer gaat nog steeds via de VPN verbinding. Je VPN programma moet uiteraard wel klaar zijn voor Big Sur.

Heb Nord VPN.
Weer een reden om snel op vakantie te gaan om te proberen!

Die is er klaar voor zo te zien. Maar je mag toch helemaal niet op vakantie macsiem ?

Zou dit bericht in de Volkskrant van vandaag relevant zijn in deze topic?

De Oostenrijkse privacyactivist Max Schrems heeft aanklachten ingediend tegen Apple bij de Duitse en Spaanse autoriteiten voor persoonsgegevens. Inzet van de klacht is de zogeheten 'Identifier for Advertisers' (IDFA). Dit is een unieke code die gekoppeld is aan iedere iPhone of iPad. Met die code kunnen commerciële partijen de consument online volgen om advertenties te personaliseren op basis van zijn appgebruik of surfgedrag.

Standaard slaat Apple die trackingcodes automatisch op, zonder vooraf toestemming te vragen aan de gebruiker. Schrems stelt dat dit niet is toegestaan volgens de Europese privacywetten. Bezitters van een iPhone kunnen overigens wel in hun instellingen aangeven dat ze niet willen dat ze online gevolgd worden, maar dat is voor de privacyactivist niet voldoende. Apple plaatst codes op zijn telefoons die vergelijkbaar zijn met een cookie, zonder toestemming van de gebruiker; dit is volgens hem een duidelijke inbreuk op de Europese privacywetten.

Eerder spande Schrems met zijn organisatie Noyb al met succes een privacyrechtszaak aan tegen Facebook in Ierland. Noyb zegt zijn pijlen ook op Google te richten, dat een vergelijkbaar volgsysteem heeft als Apple.

Het is voor het eerst dat Apple een aanklacht krijgt vanwege het overtreden van de Europese privacywetten. Het bedrijf positioneert zichzelf juist tegenover zijn techrivalen Facebook en Google door nadruk te leggen op privacy, 'privacy is built in'.

Apple heeft nog niet gereageerd op de aanklacht, maar is zich bewust van de gevoeligheden. Eerder dit jaar kondigde het bedrijf namelijk al aan dat de IDFA zal worden aangepast.

Lijkt me nuttig hier te blijven volgen.

Zou dit bericht in de Volkskrant van vandaag relevant zijn in deze topic?

Nee, dat gaat echt heel ergens anders over....

In de meer algemene 'Apple bespioneert ons' categorie is het wel interessant maar het heeft inderdaad niet met de 'issues' uit het nieuwsartikel te maken. Voor een meta-discussie wel van belang: in hoeverre is de nadruk op privacy meer marketing dan praktijk bij Apple. Net als Google met zijn 'don't be evil' slogan toen ze dat nog meenden. Stof voor een ander draadje wellicht..

Op “Flipboard” onder het hoofdstukje Apple staat hierover een interessant verhaal.