image

Apple stopt met loggen van ip-adressen bij Gatekeeper-controle

maandag 16 november 2020, 11:45 door Redactie, 22 reacties

Apple stopt met het loggen van ip-adressen bij het controleren van de applicaties die de gebruiker wil starten. Eerder opgeslagen ip-adressen zullen worden verwijderd. Dat heeft het techbedrijf in een document bekendgemaakt. MacOS voert verschillende controles uit tijdens het starten van een applicaties. Zo checkt Gatekeeper of een app malware bevat en of het certificaat van de ontwikkelaar is ingetrokken.

Alle software voor macOS 10.15 (Catalina) en nieuwer die van een Developer ID is voorzien moet een "notarizing" proces ondergaan. Via een geautomatiseerd systeem controleert Apple de software op kwaadaardige content en andere zaken. Dit moet gebruikers meer zekerheid over de software geven. Wanneer de gebruiker nu een gesigneerde app wil starten maakt macOS verbinding met een host genaamd ocsp.apple.com om te controleren of het certificaat van de app is ingetrokken. Hierbij sloeg Apple ook het ip-adres van de gebruiker op. Iets waar het nu mee is gestopt.

Eerder deze week zorgde de Gatekeeper-controle voor problemen. Wanneer gebruikers een gesigneerde applicatie starten stuurt de notary-service informatie over het certificaat waarmee de app is gesigneerd naar de servers van Apple om te controleren dat de digitale handtekening overeenkomt. Wanneer dit het geval is wordt de applicatie gestart. Is er geen internetverbinding, dan is de controle niet mogelijk, maar voert macOS de app gewoon uit. Is er wel verbinding met internet, maar zijn er problemen met Apples server, dan blijven de applicaties 'hangen', wachtend op een antwoord.

De werkwijze zorgde voor felle kritiek. "Apple Users Got Owned", schreef Kyle Rankin, Chief Security Office bij fabrikant Purism. Volgens Rankin hebben Mac-gebruikers geen echte controle over hun computer. "Net als met zoveel Apple-features is security een marketingterm terwijl de echte drijfveer controle is. Code signing gaf Apple al controle of je een app kon installeren of software kon upgraden, deze feature geeft Apple controle of je wel applicaties kunt draaien."

Apple laat nu weten dat het verschillende aanpassingen aan de veiligheidscontroles gaat doorvoeren. Zo komt er een nieuw versleuteld protocol om de certificaten van ontwikkelaars te controleren en een betere bescherming tegen problemen met de server. Verder krijgen gebruikers de optie om geen gebruik van de controle te maken.

Reacties (22)
16-11-2020, 12:08 door Anoniem
Goh. En nu de volgende sneaky observatie uitrollen. Onder het mom van 'update'.
16-11-2020, 12:09 door Anoniem
Trivia: het relevante protocol (OCSP) en verwante logs werden 9 jaar geleden ook gebruikt in de analyse van de Diginotar hack. Doordat Diginotar logs bijhield over welk certificaat er werd gecontroleerd, was op die manier een duidelijke map te maken waarop te zien is waar de aanval werd uitgevoerd (filmpje: https://www.youtube-nocookie.com/embed/wZsWoSxxwVY). Een geluk bij een ongeluk, want tegelijk staan deze logs natuurlijk ook vol met IP adressen van mensen die op de website van een politieke partij bezoeken, medische informatie opzoeken e.d.
16-11-2020, 12:59 door Bitje-scheef
Volgens mij gingen ze nu op App niveau loggen en doorsturen...
16-11-2020, 13:26 door Briolet
Door Anoniem: Goh. En nu de volgende sneaky observatie uitrollen. Onder het mom van 'update'.

Dit bijhouden van de controle op app certificaten lijkt me nog het minste probleem. Als je http websites bezoekt (en dat worden er steeds meer), dan zal ook dat certificaat bij de uitgever gecontroleerd worden. Dat is een stuk privacy gevoeliger. (zie ook hierboven bij anoniem 12:09). Elke certificaat uitgeven zal zelf beslissen of ze wel/niet logbestanden bijhouden.

Als je dat wilt voorkomen, kun je de hele OCSP controle uitschakelen in de voorkeuren van het sleutelhanger programma op de mac. Maar dan loop je het risico dat je een website bezoekt met een terug getrokken certificaat omdat er iets mee aan de hand is.
16-11-2020, 13:40 door Anoniem
Het loggen van mijn IP heeft toch niet zoveel zin (ook niet als Apple-gebruiker)
Zit toch achter een VPN.
16-11-2020, 13:56 door Anoniem
Hier viel louis Rossmann ook al over : https://www.youtube.com/watch?v=aS2lJNQn3NA
16-11-2020, 14:26 door Anoniem
Door Bitje-scheef: Volgens mij gingen ze nu op App niveau loggen en doorsturen...

Privacy protections
macOS has been designed to keep users and their data safe while respecting their privacy.

Gatekeeper performs online checks to verify if an app contains known malware and whether the developer’s signing certificate is revoked. We have never combined data from these checks with information about Apple users or their devices. We do not use data from these checks to learn what individual users are launching or running on their devices.

Notarization checks if the app contains known malware using an encrypted connection that is resilient to server failures.

These security checks have never included the user’s Apple ID or the identity of their device. To further protect privacy, we have stopped logging IP addresses associated with Developer ID certificate checks, and we will ensure that any collected IP addresses are removed from logs.

In addition, over the the next year we will introduce several changes to our security checks:

A new encrypted protocol for Developer ID certificate revocation checks
Strong protections against server failure
A new preference for users to opt out of these security protections
16-11-2020, 14:29 door Bitje-scheef
Door Anoniem: Hier viel louis Rossmann ook al over : https://www.youtube.com/watch?v=aS2lJNQn3NA

Ja dat home-call gedeelte begint aardig ziek te worden. Even kijken of Debian ook op de nieuwe arm-processoren draait.
16-11-2020, 14:33 door Bitje-scheef - Bijgewerkt: 16-11-2020, 14:34
Door Anoniem: Het loggen van mijn IP heeft toch niet zoveel zin (ook niet als Apple-gebruiker)
Zit toch achter een VPN.

Daar gaan ze mooi omheen volgens de bron van Louis Rossmann.
16-11-2020, 14:47 door Anoniem
Dat lukt apple niet acher een vpn langs te gaan,dan zouden ze zo voor de geheime dienst kunnen werken.
16-11-2020, 15:35 door Anoniem
Door Bitje-scheef:
Door Anoniem: Hier viel louis Rossmann ook al over : https://www.youtube.com/watch?v=aS2lJNQn3NA

Ja dat home-call gedeelte begint aardig ziek te worden. Even kijken of Debian ook op de nieuwe arm-processoren draait.
Door Bitje-scheef:
Door Anoniem: Hier viel louis Rossmann ook al over : https://www.youtube.com/watch?v=aS2lJNQn3NA

Ja dat home-call gedeelte begint aardig ziek te worden. Even kijken of Debian ook op de nieuwe arm-processoren draait.

Het gaat niet zozeer over de processor uit maar over het OS en de Applicaties (programmas noemde we die vroeger) die je draait. Firefox doet ook call home maakt niet uit op welk OS of welke processor.

Ja ok dat kan uitgezet worden maar ik draai tegenwoordig eigenlijk alleen nog maar Ungoogled Chromium.
Chromium ontdaan van alle Google meuk, dat alles in een docker container die niks bewaard en telkens als volledig vers opgestart wordt.
16-11-2020, 16:44 door Anoniem
Door Bitje-scheef:
Door Anoniem: Het loggen van mijn IP heeft toch niet zoveel zin (ook niet als Apple-gebruiker)
Zit toch achter een VPN.

Daar gaan ze mooi omheen volgens de bron van Louis Rossmann.
Mag ik daar even het bewijs van zien dan?
16-11-2020, 16:46 door Anoniem
Louis Rossman moet geen onzin uitkramen in die video: Als ik mijn computer dag-en-nacht laat aanstaan, hoe weet Apple dan wanneer ik slaap? En als iemand beweert dat er ook tijden van inactiviteit zijn, dan doe ik dat ook overdag zo.
16-11-2020, 16:49 door Anoniem
Door Anoniem: Het loggen van mijn IP heeft toch niet zoveel zin (ook niet als Apple-gebruiker)
Zit toch achter een VPN.

In de telemetrie zat het ip van je netwerkinterface, niet die van de VPN.
16-11-2020, 19:57 door Anoniem
Door Anoniem: Dat lukt apple niet acher een vpn langs te gaan,dan zouden ze zo voor de geheime dienst kunnen werken.
Niet achter een VPN die jij op je eigen router installeert nee.
Maar als jij een VPN toepassing op de Mac zelf installeert dan lukt het Apple echt wel om daar buitenom te gaan!
Net zoals ze ook buitenom een firewall (little snitch) kunnen gaan.
17-11-2020, 01:50 door Anoniem
Door Anoniem:
Door Anoniem: Het loggen van mijn IP heeft toch niet zoveel zin (ook niet als Apple-gebruiker)
Zit toch achter een VPN.

In de telemetrie zat het ip van je netwerkinterface, niet die van de VPN.
Je kunt deze telemetrie ook uitzetten via de privacy knop in de systeemvoorkeuren.
17-11-2020, 07:21 door Anoniem
Interessante vraag die rest is hoe, bekeken vanuit Apple, het publieke VPN IP adres minder zegt dan het IP adres van je provider. Als je nooit je VPN opnieuw opzet, zal daarbij het IP adres ook nog eens knap statisch zijn. Als je denkt je locatie te verhullen met alleen een VPN, dan ben je knap naïef; zeker daar het in deze om telemetrie gaat.
Maar ook met je surf gedrag, inloggen op dienstverleners (Facebook, Gmail) en bepaald site bezoek, maken je goed identificeerbaar met dank aan alle tracking die online plaats vindt.

Hiermee is overigens niet gezegd dat een VPN geen waarde heeft, maar wie denkt dat hij op een luie manier “onder de radar” blijft heeft het mis.

Enfin, om topic. Goed dat Apple hiermee stopt. De AVG eist tenslotte dat je geen persoonsgegevens mag verwerken die je niet nodig hebt. Het IP adres is van geen nut, kijkend naar de “dienstverlening” waar we het hier over hebben. Het zou goed zijn als ze nog een keer met de stofkam door alle verwerkingen van persoonsgegevens gaan. Zonder twijfel zijn er nog veel meer verwerkingen die niet aan het noodzakelijkheidscriterium voldoen.
17-11-2020, 08:02 door Anoniem
Ok, Apple. Nu ook alle andere telemetrie in Mac OS stoppen.
17-11-2020, 08:55 door Bitje-scheef
Door Anoniem:
Door Bitje-scheef:
Door Anoniem: Het loggen van mijn IP heeft toch niet zoveel zin (ook niet als Apple-gebruiker)
Zit toch achter een VPN.

Daar gaan ze mooi omheen volgens de bron van Louis Rossmann.
Mag ik daar even het bewijs van zien dan?

De website van de blogger die dit heeft ontdekt wordt genoemd. Dus doe even je best zou ik zeggen.
17-11-2020, 09:43 door Anoniem
Door Bitje-scheef:
Door Anoniem:
Door Bitje-scheef:
Door Anoniem: Het loggen van mijn IP heeft toch niet zoveel zin (ook niet als Apple-gebruiker)
Zit toch achter een VPN.

Daar gaan ze mooi omheen volgens de bron van Louis Rossmann.
Mag ik daar even het bewijs van zien dan?

De website van de blogger die dit heeft ontdekt wordt genoemd. Dus doe even je best zou ik zeggen.
Nee, jij beweert wat hier. Dus kom dan ook even met het bewijs.
17-11-2020, 10:51 door Bitje-scheef
Door Anoniem:
Door Bitje-scheef:
Door Anoniem:
Door Bitje-scheef:
Door Anoniem: Het loggen van mijn IP heeft toch niet zoveel zin (ook niet als Apple-gebruiker)
Zit toch achter een VPN.

Daar gaan ze mooi omheen volgens de bron van Louis Rossmann.
Mag ik daar even het bewijs van zien dan?

De website van de blogger die dit heeft ontdekt wordt genoemd. Dus doe even je best zou ik zeggen.
Nee, jij beweert wat hier. Dus kom dan ook even met het bewijs.

Bewijzen ? Ik hoef jou niets te bewijzen.
Kijk zelf de video maar en zoek de site even op.
17-11-2020, 17:07 door Anoniem
Door Bitje-scheef: Even kijken of Debian ook op de nieuwe arm-processoren draait.

https://www.debian.org/releases/stable/installmanual

Installation Guide for ...

... 64-bit ARM (AArch64)
... EABI ARM (armel)
... Hard Float ABI ARM (armhf)
...

Ik kan prima leven met een Gnome interface, zonder overbodige toeters en bellen. Als je ooit heimwee naar macOS krijgt, dan kun je Debian uitrusten met een klassiek Mac "look-and-feel" thema.
Reageren

Deze posting is gelocked. Reageren is niet meer mogelijk.