في ذلك الوقت Apple macOS Big Sur ، أعقب ذلك على الفور تقريبًا مشكلة في الخادم في الشركة. نتيجة لذلك ، لم يتمكن المستخدمون فجأة من تشغيل تطبيقات الطرف الثالث على أجهزة Mac الخاصة بهم. على الرغم من أن الناس Twitter سرعان ما وجد حلاً ، كان لدى الآخرين مخاوف جدية بشأن خصوصيتك على الإنترنت فيما يتعلق بهذه المشكلة.
بعد وقت قصير من إطلاق macOS 11.0 Big Sur ، لم يتمكن العديد من المستخدمين فجأة من تشغيل تطبيقات الطرف الثالث. تبين أن السبب هو عطل في خادم OCSP الخاص بـ Apple. يرسل macOS إلى هناك بيانات غير مشفرة تتعلق بالتطبيقات التي تستخدمها. هناك حالة من “الأخ الأكبر يراقبك” Apple، أم أنه مناسب لخصوصيتك على الإنترنت؟
في هذه المقالة نلقي نظرة فاحصة على هذا الإجراء الأمني لـ Apple ودعونا نظهر أنه لا داعي للقلق بشأن خصوصيتك على الإنترنت على الفور.
ما هو OCSP؟
OCSP تعني. كما يوحي الاسم ، يتم استخدامه للتحقق من صلاحية الشهادة دون الحاجة إلى تنزيل قوائم إبطال الشهادات الكبيرة ومسحها ضوئيًا. يستخدم macOS بروتوكول OCSP لضمان عدم إبطال شهادة المطور قبل تشغيل التطبيق. تستخدم مع OCSP Apple لذلك مجرد معيار صناعي.
مهلا Apple المستعمل:
إذا كنت تواجه الآن توقفًا عن تشغيل التطبيقات على جهاز Mac ، فقد اكتشفت المشكلة باستخدام Little Snitch.
إنه موثوق بالاتصال بـ https://t.co/FzIGwbGRan
يؤدي رفض هذا الاتصال إلى إصلاحه ، لأن OCSP يعد فشلًا بسيطًا.
(قطع الإنترنت يصلح أيضًا.) pic.twitter.com/w9YciFltrb
– جيف جونسون (lapcatsoftware) ١٢ نوفمبر ٢٠٢٠
يوضح Jeff Johnson في تغريدته أعلاه أنه إذا كان macOS هو المستجيب لـ OCSP Apple لا يمكن الوصول إليه ، تم تخطي الشيك وتشغيل التطبيق على أي حال. إنه ، في الواقع ، سلوك. ومع ذلك ، فإن المشكلة تكمن في أن المستجيب Apple لم ينجح على الإطلاق. كان من الممكن الوصول إليه ولكنه أصبح بطيئًا للغاية لأسباب غير معروفة. أدى هذا إلى منع تخطي الاختيار ، مما أدى إلى فشل تشغيل التطبيقات.
من الواضح أن هذه الآلية تتطلب اتصال macOS Apple قبل إطلاق التطبيق. الوعي العام المفاجئ بهذه الحقيقة سببه مشاكل خادم Apple، أثار بعض المخاوف بشأن خصوصية المستخدمين عبر الإنترنت. أصبحت مشاركة من الباحث الأمني جيفري بول مشهورة جدًا في Twitter. وزاد الوقود على النار بالبيان التالي:
بيانات مشفرة؟
سيكون ذلك مخيفًا حقًا. لجعل الأمور أسوأ ، من الشائع أن يستخدم OCSP HTTP – بحيث يكون نص HTTP عاديًا جيدًا عبر المنفذ 80 ، وليس هذا الهراء HTTPS المشفر. هناك سبب وجيه لذلك ، والذي يتضح بشكل خاص عند استخدام خدمة OCSP لمتصفحات الويب: منع “الحلقات”.
إذا كنت تستخدم HTTPS للتحقق من شهادة باستخدام OCSP ، فيجب عليك أيضًا التحقق من شهادة اتصال HTTPS بـ OCSP. قد يعني ذلك فتح اتصال HTTPS آخر ، وما إلى ذلك ..
لذلك ، بينما يتم إرسال البيانات إلى خادم OCSP بدون تشفير ، فإنها تتطلب بالطبع توقيع الردود بواسطة الخادم. ومع ذلك ، لا يزال هذا لا يلغي القلق الأولي من أن شخصًا ما لديه واحد على شبكتك سيتمكن من رؤية كل تطبيق ، وأنك تستخدمه ، وعندما تفتح هذا التطبيق.
نحن نغوص أعمق قليلاً في OCSP
بمجرد فهمك لبعض أساسيات OCSP ، تظهر عدة أسئلة. OCSP يدور حول التحقق من الشهادات ؛ لماذا قد يكون لهذا علاقة بإرسال تجزئات التطبيقات التي تقوم بتشغيلها؟ هل يحسب macOS حقًا تجزئة كل ملف قابل للتنفيذ عند كل عملية إطلاق؟ ماذا عن التطبيقات الكبيرة جدًا؟ سيستغرق ذلك الكثير من الوقت … كيف يعقل ألا يلاحظ أحد؟ ربما يتم حساب التجزئة مرة واحدة فقط (على سبيل المثال ، أول مرة تبدأ فيها تشغيل التطبيق) ويتم تخزينها في مكان ما. كل هذا ليس مقنعًا للغاية ويحتاج بوضوح إلى مزيد من البحث.
تسجيل طلب OCSP بسيط للغاية. عدم وجود HTTPS يعني عدم وجود تشفير ، ولا شهادات ، لذلك لا توجد مشكلة على الإطلاق. لذلك قام الباحث جاكوبو جانوني بالتحقيق في هذا الأمر. لقد بدأ في التقاط طلب OCSP من macOS إلى Appleخادم OCSP أثناء فتح متصفح الويب المعروف Firefox:
[code]GET / OCSP-devid01 / ME4wTKADAgEAMEUwQzBBMAkGBSsOAwIaBQAEFDOB0e٪ 2FbaLCFIU0u76٪ 2BMSmlkPCpsBBRXF٪ 2B2iz9x8mKEQ4Py٪ 2Bhy0s8uMXVAIIBseUIWx6qTA٪ 3D-Acceptage-KEQ4Py٪ 2Bhy0s8uMXVAIIBseUIWx6qTAapple-قبول: UMXVAIIBseUIWx6qTAappleapp: ترميز: غزيب، deflateConnection: المحافظة على الحياة[/code]
يلاحظ Jannone أنه لم يتم إرسال أي طلبات جديدة بعد إغلاق Firefox وإعادة فتحه. هذا أمر معقول ويشير إلى أن الشهادة تحقق ليس يتم تنفيذه عند كل تشغيل ، ولكن فقط بعد عدم تنفيذه لفترة زمنية معينة.
الطلب عبارة عن عملية GET بسيطة للغاية تحتوي على الحمولة كسلسلة مشفرة base64. يمكن ببساطة تفريغ البيانات الثنائية الفعلية في ملف:
[code]صدى ‘ME4wTKADAgEAMEUwQzBBMAkGBSsOAwIaBQAEFDOB0e / baLCFIU0u76 + MSmlkPCpsBBRXF + 2iz9x8mKEQ4Py + hy0s8uMXVAIIBseUIWx6qTA =’ | base64 –decode> output.bin[/code]
والنتيجة هي حمولة 80 بايت لا تشبه حتى التجزئة عن بعد. والمفاجأة – إنها ليست كذلك. يمكننا استخدام OpenSSL لتحويل الملف إلى معلومات قابلة للقراءة:
[code]opensl ocsp – نص – إخراج متكرر[/code]
النتائج:
[code]بيانات طلب OCSP: الإصدار: 1 (0x0) قائمة الطالب: معرف الشهادة: خوارزمية التجزئة: sha1Issuer Name Hash: 3381D1EFDB68B085214D2EEFAF8C4A69643C2A6CIssuer Key Hash: 5717EDA2CFDC7C98A110E0792FCBE87C[/code]
من الواضح أن خدمة trusd على macOS لا ترسل تجزئة للتطبيقات التي تقوم بتشغيلها. بدلاً من ذلك ، يرسل فقط معلومات حول شهادة معينة. تمامًا كما نتوقع بالتأكيد إذا فهمنا ما هو OCSP في المقام الأول.
ومع ذلك ، هذا لا يحل المشكلة حتى الآن. إذا كان لكل تطبيق شهادة فريدة ، فسيظل من الممكن إنشاء جدول يربط كل رقم تسلسلي بالتطبيق المرتبط به. ثم ستظل هذه مشكلة تتعلق بالخصوصية. لذلك ذهب Jannone إلى أبعد من ذلك ليرى ما إذا كان هذا هو الحال.
شهادات المطور …
بادئ ذي بدء ، أراد Jannone تحديد الشهادة التي جاءت منها هذه المعلومات. لديه رمز فائدة لذلك Apple للاستخدام. سمح له ذلك باستخراج الشهادات من تطبيق Firefox للبحث عن البيانات المطابقة.
[code]كود التوقيع -d – استخراج-الشهادات / التطبيقات / Firefox.app[/code]
ينتج عن هذا الأمر إنشاء عدة ملفات تسمى c ، وما إلى ذلك. الأول هو الشهادة الطرفية ، بينما ينتمي الآخرون إلى جذر سلسلة الشهادات. هذا ما نبحث عنه ، ومرة أخرى تم استخدام OpenSSL لتصفية بعض المعلومات.
[code]opensl x509 -inform der -in codeign0 -النص[/code]
[code]الشهادة: البيانات: الإصدار: 3 (0x2) الرقم التسلسلي: 488521955867797808 (0x6c794216c7aa930) خوارزمية التوقيع: sha256WithRSAEncryptionIssuer: CN = Developer ID Certification Authority، OU =Apple المرجع المصدق ، O =Apple Inc. ، C = USValidity ليس قبل: 8 مايو 19:08:58 2017 بتوقيت جرينتش ليس بعد: 9 مايو 19:08:58 2022 موضوع GMTS: UID = 43AQ936H96 ، CN = تطبيق معرف المطور: شركة موزيلا (43AQ936H96) ، OU = 43AQ936H96 ، O = شركة موزيلا ، ج = الولايات المتحدة …[/code]
قام بفحص الرقم التسلسلي الذي ظهر مسبقًا (0x6c794216c7aa930) وقارنه بحمولة طلب OCSP. مباراة! هذا يثبت أن طلبات OCSP ترسل بالفعل معلومات حول شهادة مطور التطبيق.
… وعموميتها
“حسنا إذا..؟” قد تسأل الآن. حسنًا ، شهادات المطور فريدة لكل تطبيق. يوضح Jannone ذلك من خلال التحقق من شهادة تطبيق Mozilla آخر ، في هذه الحالة Thunderbird.
[code]كود التوقيع -d – استخراج-الشهادات / التطبيقات / Thunderbird.appopenssl x509 -inform der -in codeign0 -text[/code]
[code]الشهادة: البيانات: الإصدار: 3 (0x2) الرقم التسلسلي: 488521955867797808 (0x6c794216c7aa930) خوارزمية التوقيع: sha256WithRSAEncryptionIssuer: CN = Developer ID Certification Authority، OU =Apple المرجع المصدق ، O =Apple Inc. ، C = USValidity ليس قبل: 8 مايو 19:08:58 2017 بتوقيت جرينتش ليس بعد: 9 مايو 19:08:58 2022 موضوع GMTS: UID = 43AQ936H96 ، CN = تطبيق معرف المطور: شركة موزيلا (43AQ936H96) ، OU = 43AQ936H96 ، O = شركة موزيلا ، C = الولايات المتحدة[/code]
مرحبًا ، هذه هي نفس الشهادة المستخدمة في Firefox (dûhh). إذن تحليل جيفري بول هو ليس دقيق تمامًا – على الأقل ليس فيما يتعلق بالأجزاء التالية:
يرسل macOS بالفعل بعض المعلومات الغامضة حول شهادات مطوري تلك التطبيقات ، وهذا فرق مهم جدًا من منظور الخصوصية.
التوثيق
ربما يكون هناك شيء ما يكمن وراء سوء الفهم هذا. في الواقع ، هناك حالة يكون فيها macOS Apple يمكنه في الواقع إرسال تجزئة التطبيق. وذلك عندما يتحقق Gatekeeper من أول تشغيل إذا كانت بطاقة التوثيق موجودة على خوادم Apple، في حالة عدم ربط التذكرة بالفعل بالتطبيق.
ومع ذلك ، هذا لا علاقة له بـ OCSP. يحدث ذلك في ظل ظروف محددة ويتم إجراء التحكم عبر اتصال آمن (HTTPS) بـ api.apple-cloudkit.com. سترى أيضًا نافذة منبثقة بها شريط تقدم أثناء هذه العملية.
حول حظر OCSP
كما قرأت في مكان ما على الأرجح أثناء الانقطاع على المستجيب OCSP لـ Apple، يمكنك حظر طلبات OCSP بعدة طرق. الأكثر شيوعًا هي Little Snitch1 وتحرير ملف / etc / hosts الخاص بك. ومع ذلك ، لا يوصى بذلك ، حيث ستضمن أن ميزة أمان مهمة في macOS لم تعد تعمل.
الآن أنت تعرف كل الحقائق وعليك أن تقرر بنفسك أيها أكثر أهمية بالنسبة لك: تعرض خصوصيتك للخطر من خلال هذه الميزة ، أو إمكانية تشغيل برامج ضارة غير مكتشفة على جهاز Mac الخاص بك. إذا كانت خصوصيتك مقدسة تمامًا بالنسبة لك ، فعليك بكل الوسائل المضي قدمًا وحظر الاتصال بخادم OCSP. لأي شخص آخر يفضل حماية جهاز Mac الخاص به بأفضل طريقة ممكنة Apple، لا يستحق كل هذا العناء. على أي حال ، نعتقد أنه لا داعي للقلق على الإطلاق.
إذا كنت تستخدم macOS Big Sur الآن ، فقد لا يكون حظر OCSP مشكلة بسيطة بالنسبة لك. قبل أن تتحدث عن مؤامرة Apple يبدأ بالصراخ ، ضع في اعتبارك أن معظم المستخدمين عمومًا غير قادرين على فهم وتقدير تأثير تعطيل مثل هذه الميزة الأمنية المعقدة والحساسة على أجهزة الكمبيوتر الخاصة بهم. تشجيع المستخدمين جزء مهم من Appleلذلك فإن تعطيل نظام الأمان ليس فكرة جيدة حقًا.
استنتاج
لا ، يرسل macOS Apple ليس رسالة تحتوي على تجزئة لتطبيقاتك في كل مرة تستخدم فيها هذا التطبيق.
ومع ذلك ، يجب أن تضع في اعتبارك أن macOS يمكنه إرسال معلومات غير شفافة حول ملف شهادة المطور من التطبيقات التي تستخدمها. هذه المعلومات بتنسيق نص مقروء أرسلت.
بالنظر إلى ما سبق ، فمن المحتمل ليس ذكيا لحظر الاتصال بـ ocsp.apple.com باستخدام Little Snitch أو في ملف hosts الخاص بك.
➔ يمكنك قراءة المزيد عنها هنا.
1 ليتل سنيتش، يُترجم بشكل فضفاض إلى “النقر الصغير” ، وهو تطبيق مدفوع ، وهو في الحقيقة أكثر من (عملية تعمل دائمًا في الخلفية) لنظام التشغيل macOS الذي يراقب جميع حركة مرور البيانات الواردة والصادرة. بمجرد أن يحاول البرنامج الاتصال بجهاز كمبيوتر آخر ، مثل القاعدة الرئيسية ، يتم إيقافه والإبلاغ عنه.
تأتي صورة العنوان من ملف Apple إعلان “Big Brother” من عام 1984 ، والذي تم بثه خلال بطولة Superbowl الأمريكية. يمكنك مشاهدة الاعلان هنا.
الرد على المقال:
Apple مثل “الأخ الأكبر”؟ أم كل شيء بخير؟
