macOS Big Sur、開いたアプリを Apple に通知することはセキュリティやプライバシーの問題ではない

ある研究者が示唆しているように、Apple が日曜日の夜に Gatekeeper の「call home」がユーザー情報と関連していないと確認する前でさえ、理論的にはそのデータを使ってアプリの起動を監視している悪意のある行為者によるプライバシー上の懸念は問題ではありませんでした。その理由は次のとおりです。

木曜日、macOS ユーザーが問題を報告しましたアップグレードしようとしていますオペレーティングシステムをmacOS ビッグサー一方で、アップグレードしなくてもアプリケーションの実行に問題が発生した人もいます。問題は次のように決定されましたサーバー関連、Apple 側の問題により、Apple の証明書チェック機能が正常に動作しません。

同じサービスは、アプリケーションセキュリティおよび運用セキュリティのコンサルティング会社の創設者であり、セキュリティ研究者であるジェフリーポール氏によって取り上げられています。で長い作品Paul 氏は木曜日にこの記事を執筆し、macOS 内で認識されているプライバシー問題、つまりユーザーがどのアプリを開いているかを Apple に報告しているようだという問題についての意識を高めようとしました。

Paul 氏によると、Mac と特定のサーバー間の Apple の通信は、IP アドレスからのデータと結合され、ユーザーのアクションに関する大量のメタデータを作成できるということです。これには、ユーザーがいつどこにいるか、コンピュータの詳細や実行しているソフトウェアが含まれます。

このデータを時間をかけて収集することで、悪者が簡単にマイニングできるアーカイブが作成され、大規模な監視を実行するためのかなりの能力が得られる可能性があり、おそらく悪名高い、現在は閉鎖されているレベルに達する可能性があります。PRISM監視プログラム。

問題は、それがそれほど劇的なものには程遠く、それほどひどいものでもないということです。そして、その気になれば、ISP は一般的なインターネットの使用だけで、Gatekeeper が放棄するよりもはるかに多くのユーザーのデータを収集する能力を持っています。

ゲートキーパーの仕組み

Apple はオペレーティングシステムにさまざまなセキュリティ機能を搭載しており、macOS も例外ではありません。アプリ内でマルウェアが使用される可能性を防ぐため、Apple は開発者に対し、アプリを macOS 上で機能させるためにさまざまなプロセスを実行することを要求しています。

作成するとともに、セキュリティ証明書これは、開発者からのアプリが承認され本物であることを確認するのに役立ちますが、Apple はアプリに次のような検査を受けることも義務付けています。公証プロセス。登録された開発者はアプリを Apple に送信し、Apple から OK が与えられる前に、セキュリティ上の問題や悪意のあるコードがスキャンされます。

Apple は 2018 年に開発者に公証プロセスを導入しました

つまり、アプリは通常は保護されていますmacOS 自体で実行できるようになる前に、Apple が認識している開発者 ID によって署名され、Apple 自体によってチェックされることによって行われます。署名されたセキュリティ証明書はアプリの作成者を認証済みとして識別し、公証によりアプリの実行ファイルがマルウェアを運ぶように変更される可能性を最小限に抑えます。

アプリまたは開発者に適用されているセキュリティ証明書はいつでも取り消すことができるため、マルウェアが存在することがわかっているアプリや何らかの不正行為が行われたアプリを迅速に非アクティブ化できます。これにより、次のような問題が発生する場合もありますが、証明書の有効期限が切れます開発者が新しいバージョンのアプリで更新するまでアプリは失敗しますが、このシステムはおおむね成功しています。

通信障害

ここで問題となるのは、この形式のセキュリティを管理するセキュリティ機能である Gatekeeper がそもそもどのようにタスクを実際に実行するかという点です。プロセスの一環として、Apple の Online Certificate Status Protocol (OCSP) レスポンダーと通信し、Gatekeeper の証明書を確認します。

この通信には、macOS がハッシュ、つまりチェックする必要があるプログラムの一意の識別子を送信することが含まれます。

ハッシュは、データのブロックに対してアルゴリズムを使用して作成できる既知の文字列です。資料としてまたは実行可能ファイル。調整されたファイルから生成されたハッシュはほぼ確実に予想されるハッシュ結果と異なり、何か問題があったことを示すため、これはファイルが改ざんされたかどうかを確認する効果的な方法となります。

ハッシュは macOS のアプリケーションファイルから作成され、OCSP に送信され、認識しているアプリケーションのハッシュと照合されます。次に、OCSP は、通常、このハッシュ値だけに基づいて、ファイルが本物であるか、何らかの方法で破損しているかどうかを示す応答を送り返します。

macOS でのソフトウェアの実行またはアップグレードの実行の失敗は、OCSP がリクエストによって圧倒され、実行が非常に遅くなり、適切な応答が返されないことが原因で発生しました。

物事のハッシュを作成する

Page は、これらの既知のハッシュが、いつ何を実行しているかを Apple に効果的に報告する理由を説明します。さらに、基本的な地理位置情報の IP アドレスにマッピングされ、何らかの形式で Apple ID などのユーザー ID に接続されている場合、これにより Apple は「友人の家の Wi-Fi でプレミアオーバーを開いたときを知ることができ、あなたが別の都市への旅行中にホテルで Tor ブラウザを開いたとき、彼らはそれを知っています。」

Apple の理論的知識は別物ですが、これらの OCSP リクエストハッシュは暗号化なしでオープンに送信されると Page 氏は指摘します。データのパケットを分析する誰でも公開で読み取ることができるこの情報は、ISP または「ケーブルを盗聴した誰でも」、または Apple が使用するサードパーティのコンテンツ配信ネットワークにアクセスして、同様の方法で使用される可能性があります。 PRISM スタイルのユーザー監視。

「このデータはあなたの生活や習慣に関する膨大な量のデータに相当し、そのすべてを所有する誰かがあなたの動きや活動パターンを特定することを可能にします」とペイジ氏は書いています。「人によっては、これが身体的な危険をもたらす可能性さえあります。」

ハッシュを分析し、そのハッシュの意味を理解するのに十分なハッシュを自由に使えるようにすることで、誰かが特定の時間にどのアプリケーションを実行したかを判断することは考えられます。セキュリティ専門家がハッシュを分析するために利用できるツールは数多くあるため、十分なリソース、データストレージ、およびコンピューティング能力を持つ人が同じことを行うことは不合理ではありません。

ただし、現実的に言うと、どのアプリが起動されているかを知ることはあまり役に立ちません。そして、ISP は、Apple の Gatekeeper が提供する限定的な情報がなくても、望めばそのデータを入手できます。

これらのハッシュの大部分は、一部のアプリの汎用性や使用頻度が高いため、識別可能であっても、ほとんど使用できないデータで構成されます。ハッシュにはアプリは示されますが、ユーザーが見ているものは示されないため、ユーザーが Safari または Chrome を起動したかどうかを知ることで収集できる情報はあまりありません。

誰かが macOS のプレビューアプリを 15 回連続で開いているのを見ても、どの国民国家も気にしないとは思えません。確かに、サードパーティが興味を持つ可能性のある非常に特殊な用途を持つアプリケーションなどの特殊なケースはありますが、そのようなケースはほとんどなく、おそらく、アプリケーションが開いたことを認識するよりも他の手段でデータを収集する方が簡単でしょう。

ターゲットユーザーが何を実行しているかを判断するためにハッシュを確認する必要はありません。アプリケーションは特定のポートまたはポート範囲で実行される傾向があるため、データのパケットを監視する同じ立場にいる人は誰でも、データがどのポートに関連しているかを確認することで、どのアプリケーションが実行されたかを同様に判断できます。

たとえば、ポート 80 は HTTP または標準 Web トラフィックに使用されることがよく知られていますが、1119 は Blizzard の Battle.net がゲームに使用することができます。おそらく、アプリケーションが通信するポートを変更することはできますが、大規模監視ベースで、そのオペレーターは Skype 通話の兆候としてポート 23399、または VMware の兆候としてポート 8337 を探すことになります。

たとえば、1119 との間のトラフィックが停止すると、ISP はユーザーのプレイが終了したことを認識する可能性があります。ウォークラフト。ゲートキーパーはそんなことはしません。

確かに、理論的には、ISP データ全体とポート監視を使用した PRISM スタイルのスパイプログラムの可能性があります。しかし、そのようなものをセットアップしたい人にとって、それは非常に有用性が低いです。

「ユーザー 384K66478 がオープンしましたルーンスケープ18:22」は、Gatekeeper が公開できる最大の情報ですが、誰の役にも立ちません。

それはまったく新しいことではなく、秘密でもありません

データのこの潜在的な使用例は、Apple ユーザーにとって最近の問題ではないことを指摘しておく価値があります。 Apple は、2012 年に初めて実装されて以来、サーバーベースの確認で証明書をチェックするために Gatekeeper を採用しており、すでにかなり前からアクティブになっています。

もしそれがポールによって組み立てられたようなプライバシー問題だったとしたら――そして実際はそうではない――それはかなりの年月にわたって問題となっていただろう。

オンラインサーバーを使用してアプリの正当性を確認するシステムは macOS に限定されるものではなく、Apple は iOS エコシステムでも同様の検証プロセスを使用しています。アプリが Apple のセキュリティ証明書をバイパスできるようにするエンタープライズセキュリティ証明書もあります。アプリストアルールは少量ですが、同様の方法で取り消すことができます。Facebookによるデモ2019年の初めに。

Microsoft は、コード署名を利用し、ハッシュを Microsoft に送り返してアプリの実行を有効または拒否するマルウェアと戦うための、Windows 10 のセキュリティ機能である独自の Device Guard を備えています。この一環として、サーバーと通信してアプリが正しく署名されているかどうかを確認することが必要になります。

ポール氏はまた、この機能はユーザーが気づいていない秘密的なものであり、使用習慣を監視するために密かに使用される可能性があるものであると述べています。しかし、オンライン広告会社やソーシャルネットワークなど、ユーザーに関するデータを収集している企業が非常に多いことを考えると、特にセキュリティ上の理由から、Apple へのデータ送信が定期的に行われていることは、ほとんどのユーザーにとっておそらく驚くべきことではないでしょう。

不適切な失敗と「ブロックできない」メッセージ

Paul が注目している要素の 1 つは、Apple が macOS Big Sur の一部としてシステムの機能を変える変更をどのように導入しているかという点です。 macOS の以前のバージョンでは、ファイアウォールまたは VPN を使用してデーモン「trustd」から OCSP へのリクエストをブロックし、システムを「静かにフェイルアップ」することができました。

ハッシュチェックシステムは通常、ハッシュを OCSP に送信し、ハッシュの受信確認と、ハッシュを本物として承認または拒否する 2 つ目の応答の 2 つの応答を期待します。最初の確認応答が受信されると、trustd は 2 番目の応答が返されるまで待機します。

木曜日に起こった問題は、この正確なシナリオであり、承認は送信されましたが、2 番目の部分は送信されませんでした。このため、承認が近づいているはずだったが承認されなかったため、アプリケーションの起動に失敗することになりました。

これは、OCSP へのアクセスをブロックすると最初のリクエストがサーバーに到達できないことを意味し、最初の確認も承認も行われないことを意味するため、Paul の宣言に影響します。そもそも問題は確認応答の受信にあるため、アクセスをブロックするとサーバーから確認応答が送信されなくなり、問題が解消されます。

「フェイルクワイエット」要素は、一見オフラインの OCSP によって通知されず、通常どおり続行されるため、システム全体がアプリの実行を許可するため、ユーザーにとって有益です。

Jamf の主任セキュリティ研究者である Patrick Wardle 氏について言及しています。決定したApple は、オンシステムのファイアウォールや VPN によってブロックできないサービスやその他の要素のリストである「ContentFilterExclusionList」に trustd を追加しました。ブロックできないため、常に OCSP への接続が試行されます。つまり、Mac は常に自宅に電話をかけます。

もちろん、これは完全にブロックできないものではありません。オフラインの Mac ではセキュリティ機能を使用できません。オンラインの Mac の場合は、ホームルーターまたは企業ネットワーク上のフィルタリングルールを使用して特定のトラフィックをブロックする可能性があります。また、移動中でも同様のブロックを実行できる可能性があります。トラベルルーター。

ハッシュ化する

PRISM がまだ懸念されるべき時期にこのすべてが表面化したのであれば、もっと注目する価値があるでしょう。メタデータを消費する監視マシンが熟考するためのより多くのデータと、政府が国民について使用するためのより多くの情報。

しかし、明らかにそうではありません。時が経ち、PRISM は廃止され、1 年以上が経過しました。一般の人々は、データが人々の活動や行動に基づいて毎日作成されていることを非常に認識しています。ユーザーは純真さを失い、自分たちが置かれている状況について無知ではなくなりました。

これを個人データの漏洩の可能性として装うことは、数年前には意味があったかもしれませんが、現在はそうではありません。

情報を考えると、基本的に、誰かが 1 日に 47 回 Safari を開いたというオンラインの誰かが多大な労力を費やして判断した可能性はわずかですが、小さなジャガイモのように思えます。それに加えて、ISP はポートを監視することで、より少ない労力でより多くのデータを取得できるようになり、それらのデータはますます小さくなっています。

他の方法を使用すると、はるかに優れた実用的なデータを取得できるため、これは物事の大規模なスケールで非常に日常的なものになります。 Apple が Google を引き抜いてこのデータを使用するという見通しさえありません。貪欲なディフェンダーユーザーのプライバシーは長年にわたって守られてきましたが、そのような動きをする可能性は低いでしょう。

ここでは、プライバシーをめぐる戦いが行われたり、開始されたり、エスカレートしたりすることはありません。

透明感が良くなりました

木曜日の 2 時間、Gatekeeper が一部のユーザーが一部のアプリを開くことを妨げていたとき、Apple は沈黙していた。原因、何が起こったのか、なぜそうなったのかについては未だに沈黙している。

ゲートキーパーの「コーリング・ホーム」については、アップルの利用規約で間接的に議論されているが、注目度の高い失敗のほとんどと同様、木曜日にはこの件についてもっと透明性を示すことができたはずだ。ユーザーがハッシュを保持しているのか、それともハッシュを使用して破棄しているのかをその時点で推測させるのではなく、ゲートキーパーのハッシュを使用して何をしているのかをユーザーに伝えることができたはずです。

Apple が自社製品で提供する他のセキュリティ機能についてオープンであることを考えると、これは簡単に実行できることです。これは、Apple が匿名データ共有を導入するなど、同様の公に透明な方法で処理される可能性があります。新型コロナウイルス感染症検査アプリ。

これが PRISM のようなシステムの一部である可能性をほのめかす声が上がっていることを考えると、そうするのは難しいかもしれませんが、可能ではあります。 Apple はそれを一般に公開し、不都合なことは何も起こっていないことを保証するだけで済みます。そして、この記事の最初の公開から数時間後には、まさにそれを実行しました。

日曜日の遅くに, Appleはシステムに関する文書を公開しました。具体的には、アプリのハッシュは開発者によって関連付けられており、iCloudアカウントやその他の識別情報には決してリンクされていないと述べています。

「Gatekeeper はオンラインチェックを実行して、アプリに既知のマルウェアが含まれているかどうか、および開発者の署名証明書が失効していないかどうかを確認します」とサポート文書には記載されています。「私たちは、これらのチェックからのデータを、Apple ユーザーやそのデバイスに関する情報と組み合わせたことはありません。私たちは、これらのチェックからのデータを、個々のユーザーが自分のデバイスで何を起動または実行しているかを知るために使用しません。

IPアドレスを記録していた可能性があるようだが、同社は今後は記録を停止し、ログから削除するとも述べている。

「これらのセキュリティチェックには、ユーザーのApple IDやデバイスのIDは決して含まれていません」とAppleは述べています。「プライバシーをさらに保護するために、開発者 ID 証明書チェックに関連する IP アドレスのログ記録を停止し、収集された IP アドレスがログから確実に削除されるようにします。」

再発を防ぐために、Apple は来年の計画を立てています。 Apple は、ユーザーによる制御を強化し、プロセスの安全性をさらに高めるために 3 つのアクションを計画しています。