La verificación de certificados de Mac alimenta el temor de que Apple registre cada aplicación que ejecute

Imagen compuesta digital del empresario con ordenador portátil con iconos en el escritorio

El jueves pasado por la tarde, los usuarios de Mac de todo el mundo comenzaron a quejarse de una ralentización paralizante al abrir aplicaciones. La causa: el certificado en línea comprueba que Apple realiza cada vez que un usuario abre una aplicación no descargada de la App Store. La actualización masiva a Big Sur aparentemente ha provocado que los servidores de Apple responsables de estos controles se ralenticen.

Apple arregló rápidamente la desaceleración, pero las preocupaciones sobre las Mac paralizadas pronto fueron reemplazadas por una preocupación aún mayor: la enorme cantidad de datos personales que Apple, y posiblemente otros, pueden recopilar de las Mac ejecutando verificaciones de certificados cada vez. que un usuario abre una aplicación que no proviene de la App Store.

Para las personas que entendían lo que sucedía detrás de escena, había pocas razones para ver las verificaciones de certificados como una trampa de privacidad. Sin embargo, solo para estar seguro, Apple publicó un artículo de soporte el lunes que debería disipar cualquier preocupación persistente. Hablaremos de esto más adelante: primero retrocedamos y proporcionemos algunos antecedentes.

Conoce OCSP

Antes de que Apple permita que una aplicación acceda a la App Store, primero debe pasar una revisión de seguridad. Los usuarios pueden configurar la función macOS conocida como Gatekeeper para permitir solo estas aplicaciones aprobadas, o pueden elegir una configuración que también permita la instalación de aplicaciones de terceros, siempre que estas aplicaciones estén firmadas con un certificado de desarrollador emitido por Apple. Para asegurarse de que el certificado no haya sido revocado, macOS usa OCSP, abreviatura del Protocolo de estado de certificado en línea estándar de la industria, para verificar su validez.

Verificar la validez de un certificado, cualquier certificado, autenticar un sitio web o software parece bastante simple, pero durante mucho tiempo ha tenido problemas en toda la industria que no son fáciles de solucionar. El medio inicial fue utilizar listas de revocación de certificados, pero a medida que las listas crecieron, su tamaño les impidió funcionar correctamente. CRL dio paso a OCSP, que verificó los servidores remotos.

Resultó que OCSP tenía sus inconvenientes. Los servidores a veces se bloquean y, cuando lo hacen, las interrupciones del servidor OCSP tienen el potencial de paralizar a millones de personas que intentan hacer cosas como visitar sitios, instalar aplicaciones y consultar el correo electrónico. Para protegerse contra este riesgo, el OCSP usa lo que se llama «falla suave» por defecto. En lugar de bloquear el sitio web o el software que se está comprobando, OCSP actuará como si el certificado fuera válido en caso de que el servidor no responda.

De alguna manera, la cantidad de personas que se actualizaron a Big Sur el jueves parece haber causado que los servidores de ocsp.apple.com se sobrecarguen pero no se llenen. El servidor no pudo proporcionar todo claro, pero tampoco devolvió un error que desencadenaría una falla suave. El resultado fue que una gran cantidad de usuarios de Mac permanecieron en el limbo.

Apple resolvió el problema con la disponibilidad de ocsp.apple.com, presumiblemente agregando más capacidad al servidor. Normalmente, ese habría sido el final del problema, pero no lo fue. Pronto, las redes sociales se inundaron con afirmaciones de que el proceso de verificación de la aplicación macOS estaba convirtiendo a Apple en un Gran Hermano que rastreaba la hora y la ubicación cada vez que los usuarios abrían o volvían a abrir una aplicación que no se descargaba de la aplicación. ‘Tienda de aplicaciones.

La paranoia golpea profundo

La publicación Tu computadora no es tuya fue uno de los catalizadores de la preocupación masiva. Observó que las solicitudes de recuperación de HTML simples realizadas por OCSP no estaban cifradas. Esto significó que Apple no solo pudo crear perfiles basados ​​en nuestro uso minuto a minuto de Mac, sino que podría hacer lo mismo para los ISP o cualquier otra persona que pudiera ver el tráfico que pasa por la red. (Para evitar caer en un bucle de autenticación infinito, prácticamente todo el tráfico OCSP no está encriptado, aunque las respuestas están firmadas digitalmente).

Afortunadamente, las publicaciones menos alarmistas como esta proporcionaron un trasfondo más útil. Los hash pasados ​​no eran exclusivos de la aplicación en sí, sino del certificado de desarrollador emitido por Apple. Esto todavía permitía a las personas inferir cuándo se usaba una aplicación como Tor, Signal, Firefox o Thunderbird, pero aún era menos granular de lo que muchos pensaban inicialmente.

El punto más importante fue que, en muchos aspectos, la recopilación de datos de ocsp.apple.com no fue muy diferente de la información que ya se transmite en tiempo real a través de OCSP cada vez que visitamos un sitio web. Sin duda, existen algunas diferencias. Apple ve solicitudes OCSP para todas las aplicaciones de Mac que no se descargan de la App Store, que presumiblemente es una gran cantidad. Las solicitudes de OCSP para otro software firmado digitalmente van a cientos o miles de autoridades de certificación diferentes y, por lo general, solo se envían cuando la aplicación está instalada.

En resumen, sin embargo, el punto era el mismo: la posible fuga de privacidad de OCSP es una compensación que hacemos al tratar de verificar la validez del certificado que autentica un sitio web que queremos visitar o el software que queremos instalar.

Apple habla

En un esfuerzo por asegurar aún más a los usuarios de Mac, Apple publicó esta publicación el lunes. Explica qué hace y qué no hace la empresa con la información recopilada a través de Gatekeeper y una función separada conocida como autenticación notarial, que verifica la seguridad incluso de las aplicaciones que no pertenecen a la App Store. La publicación dice:

Gatekeeper realiza comprobaciones en línea para ver si una aplicación contiene malware conocido y si el certificado de firma del desarrollador está revocado. Nunca hemos combinado los datos de estos controles con información sobre los usuarios de Apple o sus dispositivos. No utilizamos los datos de estos controles para saber qué están comenzando o haciendo los usuarios individuales en sus dispositivos.

La autenticación comprueba si la aplicación contiene malware conocido mediante una conexión encriptada resistente a fallas del servidor.

Estos controles de seguridad nunca incluyeron el ID de Apple del usuario o la identidad de su dispositivo. Para proteger aún más la privacidad, hemos dejado de registrar las direcciones IP asociadas con las verificaciones del certificado de ID de desarrollador y nos aseguraremos de que todas las direcciones IP recopiladas se eliminen de los registros.

La publicación continuó diciendo que en el próximo año Apple proporcionará un nuevo protocolo para verificar si los certificados de desarrollador han sido revocados, brindará «protecciones sólidas contra fallas del servidor» y presentará una nueva configuración del sistema operativo para los usuarios que deseen renunciar a todo esto. .

La controversia sobre el comportamiento que ha hecho macOS desde que se introdujo al menos la versión Catalina en octubre pasado subraya el compromiso que a veces se produce entre seguridad y privacidad. Gatekeeper está diseñado para permitir que los usuarios novatos eviten aplicaciones que se sabe que son maliciosas. Para utilizar Gatekeeper, los usuarios deben enviar cierta cantidad de información a Apple.

No es que Apple sea completamente inocente. Por un lado, los desarrolladores no han proporcionado una manera fácil de desactivar las comprobaciones OCSP. Esto hizo que bloquear el acceso a ocsp.apple.com fuera la única forma de hacerlo, y para los usuarios novatos de Mac, es demasiado difícil.

El otro error es confiar en OCSP. Debido a su diseño de falla suave, la protección puede ser anulada, en algunos casos intencionalmente por un atacante o simplemente debido a una falla en la red. Apple, sin embargo, ciertamente no es el único que confía en OCSP. Un método de revocación conocido como CRLite puede eventualmente proporcionar una solución a este error.

Las personas que no confían en los controles OCSP para las aplicaciones de Mac pueden desactivarlos editando el archivo de hosts de Mac. Todos los demás pueden seguir adelante.

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *