هل جهاز Mac الخاص بك هو بالفعل هاتف موطن لشركة Apple في كل مرة تقوم فيها بتشغيل تطبيق؟ هذا هو الادعاء المتداول بعد 12 أكتوبر 2020 ، عندما أصبح خادم Apple بطيئًا واستغرقت أجهزة Mac الحديثة وقتًا طويلاً لفتح التطبيقات. سنشرح ما يحدث.
لماذا يتم توقيع تطبيقات Mac بشهادات المطور
على جهاز Mac ، يتم توقيع التطبيقات التي تقوم بتنزيلها – سواء من Mac App Store أو من الويب – بشهادة مطور. عندما تقوم بتشغيل أحد التطبيقات ، فإنه يتحقق من التطبيق للتحقق من أنه تم توقيعه بواسطة مطور شرعي وأنه لم يتم العبث به. هذا يساعد على حمايتك من البرامج الضارة.
على سبيل المثال ، عندما تنشئ Mozilla Firefox ، فإنها تجمع ملف تطبيق Firefox ثم توقعه بشهادة مطور Mozilla. هذه هي طريقة Mozilla لإثبات أن الملف شرعي وتم إنشاؤه بواسطة Mozilla. إذا تم العبث بملف التطبيق بعد ذلك ، فسوف يلاحظ جهاز Mac الخاص بك الفرق.
هذه الشهادات صالحة فقط لفترة زمنية معينة – ربما بضع سنوات – ولكن يمكن “إبطالها” مبكرًا. على سبيل المثال ، إذا اكتشفت Apple أن مطورًا ما يستخدم شهادته لتوقيع تطبيقات ضارة ، فإن Apple تلغي الشهادة. لن تقوم أجهزة Mac بتحميل التطبيقات بهذه الشهادة التي تم إبطالها.
شرح OCSP: لماذا جهاز Mac الخاص بك بالمنزل؟
لكن انتظر — كيف يعرف جهاز Mac الخاص بك ما إذا كانت Apple قد أبطلت شهادة مرتبطة بتطبيق على جهاز Mac الخاص بك؟ للتحقق ، يستخدم جهاز Mac الخاص بك شيئًا يسمى بروتوكول حالة الشهادة عبر الإنترنت ، أو OCSP ؛ يتم استخدامه أيضًا بواسطة مستعرضات الويب للتحقق من شهادات مواقع الويب أثناء التصفح.
عند تشغيل تطبيق ما ، يرسل Mac معلومات حول شهادته إلى خادم Apple على ocsp.apple.com. يطلب جهاز Mac الخاص بك خادم Apple هذا ما إذا كان قد تم إبطال الشهادة. إذا لم يحدث ذلك ، فسيقوم Mac بتشغيل التطبيق. إذا تم إبطال الشهادة ، فلن يقوم Mac بتشغيل التطبيق.
هل يحدث هذا في كل مرة تقوم فيها بتشغيل تطبيق؟
يتذكر جهاز Mac الخاص بك هذه الردود لفترة من الوقت. في 12 نوفمبر 2020 ، تم تخزين الردود مؤقتًا لمدة خمس دقائق ؛ بمعنى آخر ، إذا قمت بتشغيل تطبيق ، ثم أغلقته ، ثم أعدت تشغيله مرة أخرى بعد أربع دقائق ، فلن يضطر جهاز Mac الخاص بك إلى سؤال Apple عن الشهادة مرة أخرى. ومع ذلك ، إذا قمت بتشغيل تطبيق ، وأغلقه ، ثم قمت بتشغيله بعد ست دقائق ، فسيتعين على جهاز Mac الخاص بك أن يطلب من خوادم Apple مرة أخرى.
لأي سبب – ربما بسبب التغييرات في macOS Big Sur – تم إغراق خادم Apple وأصبح بطيئًا للغاية في 12 نوفمبر 2020. تباطأت الاستجابة بشكل كبير ، واستغرقت التطبيقات وقتًا طويلاً للتحميل حيث انتظرت أجهزة Mac بصبر استجابة Apple البطيئة الخادم.
بعد هذا الحدث ، يخبر خادم OSCP من Apple أجهزة Mac بتذكر استجابات صلاحية الشهادة لمدة 12 ساعة. سيتصل جهاز Mac بالمنزل ويسألك عن الشهادة في كل مرة تقوم فيها بتشغيل أحد التطبيقات – إلا إذا تلقيت ردًا في آخر 12 ساعة ، وفي هذه الحالة لن يحتاج إلى ذلك. (تأتي المعلومات المتعلقة بالفترات الزمنية هنا من مطور التطبيقات المستقل Jeff Johnson .)
ماذا لو كان جهاز Mac غير متصل؟
تم تصميم فحص OCSP للفشل بأمان. إذا كنت غير متصل بالإنترنت ، فسيقوم جهاز Mac الخاص بك بتخطي الفحص وتشغيل التطبيقات بشكل طبيعي.
وينطبق الشيء نفسه إذا كان جهاز Mac الخاص بك لا يمكنه الوصول إلى خادم ocsp.apple.com – ربما بسبب حظر عنوان الخادم على شبكتك على مستوى جهاز التوجيه . إذا لم يتمكن جهاز Mac الخاص بك من الاتصال بالخادم ، فإنه يتخطى الفحص ويطلق التطبيق على الفور.
كانت المشكلة في 12 نوفمبر 2020 أنه بينما يمكن أن تصل أجهزة Mac إلى خادم Apple ، كان الخادم نفسه بطيئًا. ولكن بدلاً من الفشل بصمت والاستمرار في تشغيل التطبيق ، انتظرت أجهزة Mac وقتًا طويلاً للحصول على استجابة. إذا كان الخادم معطلاً تمامًا ، فلن يلاحظ أحد ذلك.
ما هي مخاطر الخصوصية؟ ماذا تتعلم Apple؟
هناك العديد من مخاوف الخصوصية التي أثارها الأشخاص هنا. تم توضيحها في تقرير المخترق والباحث الأمني جيفري بول عن الموقف .
- شهادات ترتبط مع تطبيقات : عندما الخاص بك ماك الاتصالات خادم OCSP، فإنه يسأل عن شهادة المحتمل المرتبطة احد التطبيق أو، ربما، حفنة من التطبيقات. من الناحية الفنية ، لا يخبر جهاز Mac الخاص بك Apple بالتطبيق الذي قمت بتشغيله. على سبيل المثال ، إذا قمت بتشغيل Firefox ، فإن Apple تعلم فقط أنك قمت بتشغيل تطبيق تم إنشاؤه بواسطة Mozilla. يمكن أن يكون Firefox أو Thunderbird ، لكن Apple لا تعرف أيهما. ومع ذلك ، إذا قمت بتشغيل تطبيق موقّع بواسطة Tor Project ، فيمكن لشركة Apple الحصول على فكرة جيدة أنك فتحت متصفح Tor .
- الطلبات مرتبطة بعناوين IP والأوقات : يمكن بالطبع ربط هذه الطلبات بالتاريخ والوقت وعنوان IP الخاص بك . هذه هي الطريقة التي يعمل بها الإنترنت. يرتبط عنوان IP الخاص بك بمدينة ودولة معينة. يخبر كل طلب OCSP شركة Apple بالمطور الذي أنشأ التطبيق الذي تقوم بتشغيله ، وموقعك العام ، وتاريخ ووقت تشغيل التطبيق.
- يعني نقص التشفير إمكانية التطفل : بروتوكول OCSP غير مشفر . لا تحصل Apple على هذه المعلومات فحسب ، بل يمكن لأي شخص في الوسط أيضًا رؤية هذه المعلومات. يمكن لمزود خدمة الإنترنت أو مسؤول شبكة مكان العمل أو حتى وكالة تجسس تراقب حركة مرور الإنترنت التنصت على حركة مرور OSCP بينك وبين Apple ومعرفة كل هذه التفاصيل. تمر هذه الطلبات أيضًا عبر شبكة توزيع محتوى لجهة خارجية (CDN) تسمى Akamai. يؤدي ذلك إلى تسريعهم — ولكنه يضيف وسيطًا آخر يمكنه التطفل من الناحية الفنية.
(تذكر: مع التغيير في سلوك التخزين المؤقت ، لم يعد جهاز Mac الخاص بك يطلب من Apple في كل مرة تقوم فيها بتشغيل أحد التطبيقات. إنه يقوم بذلك فقط كل 12 ساعة بدلاً من كل 5 دقائق.)
لماذا يقوم جهاز Mac الخاص بك بهذا؟
كما قد تتوقع ، هذا كله يتعلق بالأمان. يعد Mac نظامًا أساسيًا أكثر انفتاحًا من iPad و iPhone. يمكنك تنزيل التطبيقات من أي مكان ، حتى خارج متجر تطبيقات Mac من Apple.
لحماية جهاز Mac من البرامج الضارة – ونعم ، أصبحت البرامج الضارة لنظام التشغيل Mac أكثر شيوعًا – نفذت Apple فحص الأمان هذا. إذا تم إبطال الشهادة المستخدمة للتوقيع على أحد التطبيقات ، فيمكن أن يبدأ جهاز Mac الخاص بك على الفور في العمل ويرفض فتح هذا التطبيق. يمنح هذا Apple القدرة على منع أجهزة Mac من إطلاق تطبيقات ضارة معروفة.
هل يمكنك حظر شيكات OCSP؟
تم تصميم عمليات التحقق من OCSP بحيث تفشل بسرعة وبصمت عندما يكون جهاز Mac غير متصل بالإنترنت أو لا يمكنه الاتصال بخادم ocsp.apple.com.
هذا يجعل من السهل حظرها: فقط امنع جهاز Mac الخاص بك من الاتصال بـ ocsp.apple.com. على سبيل المثال ، يمكنك غالبًا حظر هذا العنوان على جهاز التوجيه الخاص بك ، مما يمنع جميع الأجهزة الموجودة على شبكتك من الاتصال به.
لسوء الحظ ، يبدو أن Big Sur لم يعد يسمح للجدران النارية على مستوى البرامج على جهاز Mac بحظر عملية Trustd المضمنة في Mac من الوصول إلى الخوادم البعيدة مثل هذه.
ماذا تقول Apple وتتعهد بالتغيير؟
يبدو أن شركة آبل قد استمعت إلى الانتقادات. في 16 نوفمبر 2020 ، أضافت الشركة معلومات حول “حماية الخصوصية” لـ Gatekeeper على موقعها الإلكتروني.
أولاً ، تقول Apple إنها لم تدمج أبدًا البيانات من هذه الشهادات أو فحوصات البرامج الضارة مع أي بيانات أخرى تعرفها Apple عنك. تتعهد الشركة بعدم استخدام هذه المعلومات لتتبع التطبيقات التي يطلقها الأفراد على أجهزة Mac الخاصة بهم.
ثانيًا ، تصر Apple على أن فحوصات الشهادة هذه غير مرتبطة بمعرف Apple الخاص بك أو أي معلومات خاصة بالجهاز بخلاف عنوان IP الخاص بك. تقول Apple إنها أوقفت تسجيل عناوين IP المرتبطة بهذه الطلبات وستقوم بإزالتها من سجلات Apple.
خلال العام المقبل – بمعنى آخر ، بحلول نهاية عام 2021 – تقول Apple إنها ستجري هذه التغييرات:
- استبدل OCSP ببروتوكول مشفر : تقول Apple إنها ستنشئ بروتوكولًا مشفرًا جديدًا ليحل محل نظام OCSP غير المشفر لفحص شهادات المطور. سيمنع هذا أي شخص في الوسط من التطفل.
- أوقف عمليات التباطؤ : تعد Apple أيضًا بـ “حماية قوية ضد فشل الخادم” – بمعنى آخر ، لن يكون تحميل التطبيقات بطيئًا بسبب تباطؤ الخادم مرة أخرى.
- توفير خيار للمستخدمين : تقول Apple إن مستخدمي Mac سيكونون قادرين على إيقاف تشغيل وسائل الحماية الأمنية هذه ومنع أجهزة Mac الخاصة بهم من التحقق من شهادات المطور التي تم إبطالها.
بشكل عام ، ستزيل هذه التغييرات العديد من المشكلات – لم يعد بإمكان الأطراف الثالثة التطفل في المنتصف. ستستمر أجهزة Mac في إرسال معلومات Apple التي يمكنها استخدامها لتتبع التطبيقات التي تفتحها ، لكن Apple تعد بعدم ربط هذه المعلومات بك. يجب التخلص من حالات التباطؤ حيث تعمل Apple على حل مشكلة الأداء أيضًا.
ماذا سيكون هذا البروتوكول الأفضل؟ حسنًا ، لم تقل Apple بعد ما الذي ستستبدل به OCSP. كما يلاحظ الباحث الأمني سكوت هيلمي ، شيء مثل CRLite يمكن أن يساعد في ربط الإبرة هنا. تخيل لو أن جهاز Mac الخاص بك يمكنه تنزيل ملف واحد من Apple وتحديثه بانتظام. قد يحتوي الملف على قائمة مضغوطة لجميع عمليات إبطال الشهادات. عندما تقوم بتشغيل تطبيق ما ، يمكن لجهاز Mac الخاص بك فحص الملف ، مما يلغي عمليات فحص الشبكة ومشاكل الخصوصية.
يقوم جهاز Mac الخاص بك أحيانًا بإرسال تجزئة التطبيقات إلى Apple
بالمناسبة ، يرسل جهاز Mac الخاص بك أحيانًا تجزئات للتطبيقات التي تفتحها على خوادم Apple. هذا يختلف عن فحوصات توقيع OCSP. بدلاً من ذلك ، يتعلق الأمر بتوثيق Gatekeeper .
يمكن للمطورين تحميل التطبيقات إلى Apple ، والتي تقوم بفحصها بحثًا عن البرامج الضارة ثم “توثيقها” إذا كانت تبدو آمنة. يمكن “تدبيس” معلومات بطاقة التوثيق هذه إلى التطبيق. إذا لم يقم المطور بتدبيس معلومات التذكرة في ملف التطبيق ، فسيقوم جهاز Mac الخاص بك بالتحقق من خوادم Apple في المرة الأولى التي تقوم فيها بتشغيل هذا التطبيق.
يحدث هذا فقط في المرة الأولى التي تقوم فيها بتشغيل إصدار معين من التطبيق – وليس في كل مرة يتم فتحه فيها. ويمكن للمطور إلغاء الفحص عبر الإنترنت من خلال التدبيس.
