Close-up van Apple-logo op een iMac

Apple wijzigt procedure app-check macOS Big Sur na privacykritiek

Laatst bijgewerkt: 16 november 2020
Leestijd: 3 minuten, 17 seconden

Apple voert een wijziging door in de wijze waarop het applicaties valideert met besturingssysteem macOS Big Sur. IP-adressen van gebruikers worden niet langer gelogd door het Amerikaanse technologiebedrijf. Tevens gaat het een nieuw versleutelingsprotocol gebruiken om Developer ID-certificaten te controleren en meer bescherming bieden als de servers het laten afweten.

Dat schrijft Apple in zijn supportdocument, zo melden diverse media. Apple maakt hiermee een knieval nadat het afgelopen week felle kritiek van beveiligingsonderzoekers kreeg te verduren.

Zo controleert Apple Mac-applicaties op malware

Apples besturingssysteem macOS is uitgerust met allerlei technologieën om ervoor te zorgen dat je apparatuur niet geïnfecteerd raakt. Gatekeeper controleert of een app al dan niet besmet is met malware en of de ontwikkelaar een geldig certificaat bezit om apps in de App Store te mogen plaatsen. Standaard worden apps uit de App Store en van bekende ontwikkelaars toegestaan op macOS. Voor extra beveiliging kunnen gebruikers ervoor kiezen om alleen apps uit de App Store toe te staan.

Mac-apps, plugins en installatiepakketten die buiten de App Store worden gedownload en geïnstalleerd, worden door macOS gecontroleerd aan de hand van de Developer ID-handtekening en de authenticatiestatus om te controleren of de software afkomstig is van een betrouwbare ontwikkelaar.

Sinds de komst van macOS 10.15 Catalina in oktober 2019 maakt Apple eveneens gebruik van een ‘notarizing’ proces. Een geautomatiseerd systeem controleert software op virussen en andere vormen van malware. Wanneer gebruikers een app willen starten, maakt het besturingssysteem verbinding met ocsp.apple.com, wat staat voor Online Certificate Status Protocol. Via deze host checkt Apple of het certificaat van de app al dan niet is ingetrokken.

Forse problemen met OCSP-host

Afgelopen week zorgde de Gatekeeper-technologie voor heel wat ellende voor gebruikers. Heel wat mensen bleken problemen te hebben met het opstarten van applicaties bij de release van macOS 11.0 Big Sur. Deze problemen ontstonden doordat de servers van de OCSP-host platlagen.

Als een gebruiker een applicatie wil starten en alles goed gaat, dan zegt de OCSP-host dat de digitale handtekening van de applicatie overeenkomt en veilig is voor gebruik. Hiervoor is echter wel een internetverbinding nodig. Als deze er niet is, dan wordt er geen controle uitgevoerd en start macOS de app op. Is er wel een internetverbinding maar laten de servers van Apple het afweten, dan blijven applicaties ‘hangen’, net zolang totdat ze een antwoord krijgen van de OCSP-host.

Apple krijgt felle kritiek

Bij de release van macOS Big Sur op vrijdag 13 november, lukte het niet om contact te leggen met ocsp.apple.com. Beveiligingsonderzoeker Jeffrey Paul deed onderzoek naar het probleem en ontdekte dat OCSP-requests onversleuteld werden verzonden. Ook merkte hij op dat Apple langs deze weg IP-adressen van gebruikers verzamelde.

Net als zijn collega beveiligingsspecialist Kyle Rankin van het bedrijf Purism concludeerde hij dat gebruikers geen controle hebben over hun Mac-computer. “Toch is beveiliging, zoals bij zoveel Apple functies, een marketingterm wanneer de echte motivatie de controle is. Terwijl code signing Apple al de controle gaf of je software kon installeren of upgraden, geeft deze functie [notarizing, red.] Apple de controle over het feit of je programma’s kunt uitvoeren”, zo schrijft Rankin in een blog.

Zo gaat Apple de privacy van Mac-gebruikers nog beter beschermen

Apple heeft de feedback van de securityexperts gehoord en belooft beterschap. Het Amerikaanse techbedrijf gaat een nieuw versleutelingsprotocol gebruiken om Developer ID-certificaten vast te stellen, zo schrijft het in een supportdocument dat online staat. Daarnaast krijgen gebruikers een opt-outoptie om de veiligheidsmaatregelen van Apple uit te schakelen. Tot slot gaat het bedrijf meer bescherming bieden als de servers het laten afweten.

Om de privacy van gebruikers te waarborgen, stopt Apple met het loggen van IP-adressen bij Developer-ID checks. Reeds verzamelde IP-adressen gaat het bedrijf verwijderen. Tegenover de Canadese techsite iPhone in Canada beloofde Apple plechtig dat de verkregen data van Developer-ID checks nooit gekoppeld is aan informatie van Apple-gebruikers. Apple weet naar eigen zeggen dus niet wat voor apparaten individuele klanten gebruiken en welke apps ze daarop draaien.

Privacy en security redacteur
Techliefhebber pur sang: Anton is gek op alles wat met technologie en internet te maken heeft. Cybersecurity, privacy en internetcensuur hebben dan ook zijn volle aandacht. 

Meer artikelen uit het ‘Nieuws’ dossier

Reacties
Plaats een reactie
Een reactie plaatsen