¿Tu Mac realmente llama a casa con Apple cada vez que inicias una aplicación? Esa es la acusación que circula después del 12 de octubre de 2020, cuando un servidor de Apple se volvió lento y las Mac modernas tardaron mucho en abrir aplicaciones. Explicaremos lo que está pasando.
Información: esto se aplica tanto a macOS Big Sur como a macOS Catalina . La desaceleración y las preocupaciones de privacidad asociadas no son nuevas en macOS Big Sur.
En una Mac, las aplicaciones que descarga, ya sea desde la Mac App Store o desde la web, están firmadas con un certificado de desarrollador. Siempre que inicia una aplicación, la revisa para verificar que haya sido firmada por un desarrollador legítimo y que no haya sido manipulada. Esto le ayuda a protegerse del malware.
Por ejemplo, cuando Mozilla crea Firefox, compila un archivo de aplicación de Firefox y luego lo firma con el certificado de desarrollador de Mozilla. Esta es la forma de Mozilla de demostrar que el archivo es legítimo y que Mozilla lo creó. Si posteriormente se manipula el archivo de la aplicación, su Mac notará la diferencia.
Estos certificados solo son válidos durante un cierto intervalo de tiempo, tal vez algunos años, pero se pueden «revocar» anticipadamente. Por ejemplo, si Apple descubre que un desarrollador está usando su certificado para firmar aplicaciones maliciosas, Apple revoca el certificado. Las Mac no cargarán aplicaciones con ese certificado revocado.
Pero espere, ¿cómo sabe su Mac si Apple ha revocado un certificado asociado con una aplicación en su Mac? Para comprobarlo, su Mac utiliza algo llamado Protocolo de estado de certificado en línea u OCSP; también lo utilizan los navegadores web para comprobar los certificados de sitios web mientras navega.
Cuando inicia una aplicación, su Mac envía información sobre su certificado a un servidor de Apple en ocsp.apple.com. Su Mac le pregunta a este servidor de Apple si el certificado ha sido revocado. Si no es así, su Mac inicia la aplicación. Si el certificado ha sido revocado, su Mac no iniciará la aplicación.
Su Mac recuerda estas respuestas durante un período de tiempo. El 12 de noviembre de 2020, las respuestas se almacenaron en caché durante cinco minutos; en otras palabras, si iniciara una aplicación, la cerrara y la iniciara nuevamente cuatro minutos después, su Mac no tendría que preguntarle a Apple sobre el certificado por segunda vez. Sin embargo, si inició una aplicación, la cerró y la lanzó seis minutos después, su Mac tendría que volver a preguntar a los servidores de Apple.
Por alguna razón, tal vez debido a cambios en macOS Big Sur, el servidor de Apple se inundó y se volvió muy lento el 12 de noviembre de 2020. Las respuestas se ralentizaron considerablemente y las aplicaciones tardaron mucho en cargar mientras las Mac esperaban pacientemente una respuesta de Apple servidor.
Después de ese evento, el servidor OSCP de Apple ahora le dice a las Mac que recuerden las respuestas de validez del certificado durante 12 horas. Su Mac llamará a casa y le preguntará por un certificado cada vez que inicie una aplicación, a menos que haya recibido una respuesta en las últimas 12 horas, en cuyo caso no será necesario. (La información sobre períodos de tiempo aquí proviene del desarrollador de aplicaciones independiente Jeff Johnson ).
La verificación OCSP está diseñada para fallar con gracia. Si está desconectado, su Mac omitirá silenciosamente la verificación e iniciará las aplicaciones normalmente.
Lo mismo ocurre si su Mac no puede acceder al servidor ocsp.apple.com, tal vez porque la dirección del servidor se ha bloqueado en su red a nivel del enrutador . Si su Mac no puede comunicarse con el servidor, omite la verificación e inmediatamente inicia la aplicación.
El problema del 12 de noviembre de 2020 fue que, si bien las Mac podían llegar al servidor de Apple, el servidor en sí era lento. Pero en lugar de fallar silenciosamente y continuar con el lanzamiento de una aplicación, las Mac esperaron mucho tiempo por una respuesta. Si el servidor se hubiera caído por completo, nadie se habría dado cuenta.
Hay varias preocupaciones de privacidad que la gente ha planteado aquí. Están detallados en la vertiginosa visión de la situación del hacker e investigador de seguridad Jeffrey Paul .
Información: su Mac no le dice a Apple qué aplicación está iniciando. En cambio, su Mac solo le dice a Apple qué desarrollador creó la aplicación que está lanzando. Por supuesto, muchos desarrolladores solo crean una aplicación. Esta distinción técnica a menudo no significa mucho.
(Recuerde: con el cambio al comportamiento de almacenamiento en caché, su Mac ya no le pregunta a Apple cada vez que inicia una aplicación. Solo lo hace cada 12 horas en lugar de cada 5 minutos).
Como era de esperar, se trata de seguridad. La Mac es una plataforma más abierta que el iPad y el iPhone. Puede descargar aplicaciones desde cualquier lugar, incluso fuera de la Mac App Store de Apple.
Para proteger la Mac del malware, y sí, el malware de Mac se ha vuelto más común, Apple implementó este control de seguridad. Si se revoca un certificado utilizado para firmar una aplicación, su Mac puede entrar en acción inmediatamente y negarse a abrir esa aplicación. Esto le da a Apple el poder de evitar que las Mac lancen aplicaciones maliciosas conocidas.
Estas comprobaciones de OCSP están diseñadas para fallar rápida y silenciosamente cuando una Mac está fuera de línea o no puede contactar con el servidor ocsp.apple.com.
Eso los hace fáciles de bloquear: simplemente evite que su Mac se conecte a ocsp.apple.com. Por ejemplo, a menudo puede bloquear esta dirección en su enrutador, evitando que todos los dispositivos de su red se conecten a él.
Desafortunadamente, parece que Big Sur ya no permite que los firewalls a nivel de software en la Mac bloqueen el proceso de confianza integrado de la Mac para que no acceda a servidores remotos como este.
Advertencia: si bloquea el servidor ocsp.apple.com, su Mac no se dará cuenta cuando Apple haya revocado el certificado de desarrollador de una aplicación. Está eligiendo deshabilitar una función de seguridad y esto podría poner en riesgo su Mac.
Apple parece haber escuchado las críticas. El 16 de noviembre de 2020, la compañía agregó información sobre «protecciones de privacidad» para Gatekeeper en su sitio web.
Primero, Apple dice que nunca ha combinado los datos de estos certificados o comprobaciones de malware con ningún otro dato que Apple sepa sobre usted. La compañía promete que no usa esta información para rastrear qué aplicaciones están lanzando las personas en sus Mac.
En segundo lugar, Apple insiste en que estas comprobaciones de certificados no están asociadas con su ID de Apple ni con ninguna información específica del dispositivo más allá de su dirección IP. Apple dice que ha dejado de registrar direcciones IP asociadas con estas solicitudes y las eliminará de los registros de Apple.
Durante el próximo año, en otras palabras, para fines de 2021, Apple dice que hará estos cambios:
En general, estos cambios eliminarán varios problemas: los terceros ya no pueden fisgonear en el medio. Las Mac seguirán enviando información a Apple que puede usar para rastrear qué aplicaciones abres, pero Apple promete no asociar esa información contigo. Las ralentizaciones deben eliminarse ya que Apple también soluciona el problema de rendimiento.
¿Cuál será este mejor protocolo? Bueno, Apple aún no ha dicho con qué reemplazará a OCSP. Como señala el investigador de seguridad Scott Helme , algo como CRLite podría ayudar a enhebrar la aguja aquí. Imagínese si su Mac pudiera descargar un solo archivo de Apple y actualizarlo regularmente. El archivo contendría una lista comprimida de todas las revocaciones de certificados. Siempre que inicie una aplicación, su Mac podría verificar el archivo, eliminando las verificaciones de red y los problemas de privacidad.
Por cierto, tu Mac a veces envía hashes de las aplicaciones que abres a los servidores de Apple. Esto es diferente de las comprobaciones de firma de OCSP. En cambio, tiene que ver con la notarización de Gatekeeper .
Los desarrolladores pueden cargar aplicaciones en Apple, que las comprueba en busca de malware y luego las “certifica ante notario” si parecen seguras. Esta información del boleto de notarización se puede «engrapar» en la aplicación. Si un desarrollador no engrapa la información del ticket en el archivo de la aplicación, su Mac verificará con los servidores de Apple la primera vez que inicie esa aplicación.
Esto solo ocurre la primera vez que inicia una versión determinada de una aplicación, no cada vez que se abre. Y el desarrollador puede eliminar el cheque en línea mediante el grapado.
Las Mac no son únicas aquí. Por ejemplo, las PC con Windows 10 a menudo cargan datos sobre las aplicaciones que descarga al servicio SmartScreen de Microsoft para buscar malware. Los programas antivirus y otras aplicaciones de seguridad también pueden cargar información sobre aplicaciones de apariencia sospechosa a la empresa de seguridad.
El mundo del gaming ha experimentado un crecimiento exponencial en los últimos años. La…
Stokkete/Shutterstock.com ¿Sigue utilizando una unidad flash USB obsoleta para almacenar sus archivos? ¿Por qué no…
LG Los fabricantes siempre intentan mejorar el rendimiento de imagen de los monitores. Como resultado,…
Patty Chan/Shutterstock.com Si cree en lo que ve en las redes sociales, puede pensar en…
Seksan.TH/Shutterstock.com Los servicios de suscripción como Netflix, Game Pass y Spotify nos permiten consumir tantas…
fatmawati achmad zaenuri/Shutterstock El acceso a Internet, oa cualquier otra red, se rige por la…