Nuovo aggiornamento Mac non lascia agli utenti spazio per sfuggire alla raccolta dati

• L'ultimo aggiornamento di Apple, Big Sur, rende praticamente impossibile per le soluzioni Privacy aggirare una funzionalità che registra l'attività del dispositivo per le applicazioni offline (e online).
• Il monitoraggio è l'ennesimo esempio delle scelte di progettazione che mettono a repentaglio la privacy da parte di Apple, nonostante gli sforzi dell'azienda di presentarsi come un alleato Privacy .
• Le VPN e altri firewall non possono eludere questa funzionalità.
• Gli esperti di sicurezza suggeriscono agli utenti che hanno a cuore la propria Privacy digitale di prendere in considerazione altre alternative open source.

Il 12 novembre, gli utenti Mac si sono lamentati del fatto che i loro computer erano lenti. Questa lentezza ha coinciso con l'uscita diGrande Sur, l'ultimo aggiornamento per Mac di Apple.

Dopo il rilascio dell'aggiornamento, un errore tecnico ha interrotto i server utilizzati da Apple per le richieste OCSP, i pacchetti di dati che verificano il certificato SSL di un computer quando accede alle applicazioni online.I dispositivi Apple si stavano spegnendo perché queste richieste OCSP T raggiungevano i server Apple.

Analizzando più attentamente la situazione, alcuni utenti hanno capito chiaramente il motivo per cui i dispositivi non funzionavano quando i server OCSP non funzionavano: ogni volta che un utente apre un'applicazione (anche ONE), quell'azione viene contrassegnata e tracciata dai server OCSP di Apple.

Questa funzionalità è stata introdotta nell'aggiornamento Catalina di Apple, ma alcuni strumenti (come Little Snitch) potevano essere utilizzati per aggirarla. Ora, con Big Sur, non c'è un modo pratico per gli utenti Mac medi di ostacolare la funzionalità.

Mela si è pubblicizzatocome spingerela Privacy come COREdella sua missione, forse più pubblicamente respingendo le richieste delle forze dell'ordine disbloccare ONE degli iPhone dell'attentatore di San Bernardino, California, dopo l'attacco del dicembre 2015.

Ma queste nuove rivelazioni dimostrano alcuni dei difetti intrinseci della raccolta centralizzata di dati: devi fidarti che Apple non condivida queste informazioni (o fidarti che non venga costretta a rivelarle a un'agenzia governativa). In questo caso, però, l'isolamento dei dati da parte di Apple tramite Big Sur potrebbe non essere nemmeno il problema principale perché queste richieste OCSP vengono trasmesse non crittografate, il che significa che i contenuti possono essere letti da qualsiasi parte di sorveglianza che le intercetti.

Pertanto, se gli utenti Mac vogliono sottrarsi al controllo di Apple, dovranno cercare delle alternative.

L'aggiornamento Mac consente la registrazione delle attività offline

"Nelle versioni moderne di macOS, semplicemente T puoi accendere il tuo computer, avviare un editor di testo o un lettore di eBook e scrivere o leggere senza che un registro della tua attività venga trasmesso e archiviato", scrive l'hacker e ricercatore di sicurezza Jeffrey Paul in un post del blog.

Paul ha dichiarato in un'e-mail a CoinDesk di T credere che "Apple abbia cattive intenzioni in questo caso", ma che il suo obiettivo è monitorare malware e altri software illeciti sui suoi dispositivi.

Il problema, però, è che queste richieste OCSP non sono crittografate e quindi "vulnerabili al monitoraggio passivo". Ciò lascia i dati aperti alla raccolta e all'analisi da parte di "organizzazioni di monitoraggio passivo su larga scala" come la National Security Agency (NSA) degli Stati Uniti.

"Si tratta, ovviamente, di una pratica terribile e, nonostante sia lo standard del settore, Apple dovrebbe saperlo, in quanto sono esperti di crittografia (che gestiscono la propria autorità di certificazione e utilizzano regolarmente strumenti crittografici relativamente avanzati come i certificati client e il cert pinning)", ha scritto Paul via e-mail.

La telemetria è un processo diagnostico tramite il quale i server tracciano come viene utilizzato un dispositivo. I sistemi Apple ora trasmettono una "telemetria inavvertita" aperta a cui può accedere qualsiasi entità collegata ai canali di comunicazione di Internet, ha spiegato Paul.

"Il vero rischio Privacy qui non è che Apple potrebbe raccogliere questi dati. Probabilmente non lo fa, perché credo che questo sia un tentativo da parte di Apple di impedire che il malware possa essere eseguito sulla sua piattaforma. Il problema è che funge da telemetria *involontaria* per chiunque stia ascoltando sul filo, che, negli Stati Uniti, è ogni importante ISP e l'esercito nazionale", ha continuato.

Questo tipo di preoccupazioni hanno portato ad argomenti contrariserver centralizzati per il tracciamento dei contattinell'Unione Europea. Hanno anche incoraggiato recentispinge per i mixnet, che mescolano il traffico di rete appositamente per evitare l'osservazione passiva dei metadati.

I dispositivi Apple sono sempre stati una specie di giardino recintato. Le applicazioni e il software di editori non verificati, ad esempio, devono essere approvati manualmente dagli utenti. L'obiettivo apparente di tali controlli è proteggere l'utente, ma comeCory Dottorow come recentemente sottolineato a CoinDesk via e-mail, questi controlli possono sostituire l'agenzia in determinati scenari (ad esempio, quando Apple ha rimosso migliaia di appdall'app store cinese).

"Penso che questo sia un ottimo esempio di ciò che Bruce Schneier chiama "sicurezza feudale", ha detto Doctorow a CoinDesk, commentando la funzionalità di registrazione delle attività. "L'idea che i nostri sistemi non ci diano più il potere di proteggerci, ma piuttosto ci richiedano di arrenderci al nostro destino a ONE dei grandi signori della guerra tecnologica dell'epoca (Facebook, Google, Apple, Msft, ETC.), che ci proteggerà ... da tutti tranne [T stesso".

Soluzioni Privacy dei dati

Per tutti gli utenti Mac che sperano di sfuggire alla sorveglianza, le soluzioni dovranno arrivare da fuori il centro di influenza di Apple.

Prima dell'aggiornamento Big Sur Mac, VPN o firewall come Little Snitch avrebbero impedito al computer di far trapelare informazioni. Ma Big Sur supera tutto questo, ha affermato Valdas Petrulis, co-fondatore e ingegnere informatico capo di Mysterium Network, un protocollo VPN decentralizzato.

"MacOS Big Sur (versione 11.0) consente al traffico di bypassare il solitoregole di routing e firewall. Ciò significa semplicemente che Little Snitch T sarà in grado di monitorare e bloccare questo, e nemmeno una VPN può aiutarti o nasconderti. MacOS ora lo ha semplicemente proibito."

Sean O’Brien, il principale ricercatore del Digital Security Lab di ExpressVPN, ha affermato che in definitiva una VPN non “impedirà ad Apple di raccogliere questi dati, ma [li] “almeno li proteggerà da altri intermediari di rete mentre viaggiano su Internet”.

C'è un modo per disattivare la funzionalità, anche se Paul ha detto che solo gli esperti di MacOS dovrebbero provarci. Apple cambia i servizi di sistema che puoi disattivare con ogni aggiornamento, ha detto Paul, quindi questo potrebbe cambiare in futuro.

"In realtà, però, la cosa più importante che i consumatori possono fare per proteggere la propria Privacy quando utilizzano dispositivi Apple è *non* usare mai iCloud e non usare iMessage", ha continuato Paul. Dati iCloud non è criptato, ha affermato, consentendo "all'FBI o all'esercito americano di leggere praticamente la cronologia completa degli iMessage di chiunque senza mai toccare il dispositivo".

Alternative?

L'unico modo per sfuggire al panopticon di Apple, secondo Paul? "Software open source che T ti spia". In passato questo significava strumenti come Little Snitch, Tor e VPN, ma ora che Apple ha una presa più stretta sulla Privacy personale, coloro che sono seriamente preoccupati per la propria Privacy possono solo cambiare fornitore di hardware e software.

Forse a testimonianza del cambiamento che gli utenti stanno apportando, Sharmini Ravindran, CMO di Mysterium, ha affermato che il servizio ha riscontrato "da 8 a 10 volte più interesse" nella sua applicazione Windows rispetto alla versione Mac.

Ovviamente, Anche Microsoft non è una santa Privacy, il che significa che il software Linux libero e open source, da tempo la scelta della maggior parte dei sostenitori Privacy , potrebbe essere la scommessa più sicura.

Ma funzionerà solo se il tipico utente Mac si preoccupa abbastanza della funzionalità di perdita della privacy. E se gli interessa, c'è anche la questione di sapere abbastanza sui computer per avviare e gestire Linux. ONE dei principali punti di forza di Apple è che è facile da usare anche per gli individui più avversi alla tecnologia, il che può essere allettante dato che la tecnologia Privacy a volte è piena di attriti per le persone che sono abituate ad accedere a tutto tramite Face ID.

D'altra parte, Apple ha ancheè stato elogiato come un ente attento alla privacy azienda, e la percezione pubblicaè in continuo cambiamento.

"Non solo Apple espone i propri clienti ai rischi derivanti dai dirigenti e dalle decisioni aziendali dell'azienda stessa, ma crea anche un rischio morale per i governi, invitandoli a costringere Apple ad (ab)usare questa funzione per danneggiare, non per aiutare, i propri utenti", ha affermato Doctorow.