Apple voert wijzigingen door na privacykritiek op appcheck door macOS Big Sur

Apple stopt met het loggen van IP-adressen van gebruikers bij het valideren van macOS-apps en gaat encryptie toepassen bij de checks op Developer ID-certificaten van apps. Het bedrijf voert de wijzigingen door na privacykritiek en problemen met het starten van apps vorige week.

Apple voert in het komende jaar wijzigingen door in de manier waarop het apps valideert. Dat blijkt uit tekstpassages die Apple heeft toegevoegd aan zijn supportdocument over het veilig openen van apps op macOS. Het bedrijf gaat een nieuw versleutelingsprotocol gebruiken voor de checks op Developer ID-certificaten, meer bescherming bieden als de servers het laten afweten en een opt-outoptie bieden aan gebruikers die de bescherming niet willen.

De beloftes voor de wijzigingen komen na problemen met het starten van apps bij de release van macOS 11.0 Big Sur. Die problemen ontstonden doordat de servers voor het Online Certificate Status Protocol, of OCSP, platlagen. Apple gebruikt deze servers voor zijn Gatekeeper-technologie; die controleert of apps malware bevatten en op de juiste wijze door de ontwikkelaars zijn ondertekend met certificaten. Het gaat hierbij om X.509-certificaten en Apple kan deze in real time intrekken als het problemen constateert na een online check, ook al is de app zelf correct geïnstalleerd.

Bij onderzoek naar de aard van de appproblemen, benadrukten beveiligingsonderzoekers als Jeffrey Paul dat de OCSP-requests onversleuteld verzonden werden. Ook was er kritiek op het verzamelen van IP-adressen, het beperken van netwerktool Little Snitch in macOS Big Sur en het verdwijnen van de mogelijkheid in dat OS om de validatie te blokkeren in firewalls.

Apple meldt aan iPhone in Canada dat het bedrijf nooit data van de checks combineert met informatie van Apple-gebruikers of hun apparaten en dat het ook niet controleert wat individuele gebruikers voor apps draaien. Het bedrijf meldt gestopt te zijn met het loggen van IP-adressen bij de Developer ID-checks en dat het al verzamelde IP-adressen gaat verwijderen.

macOS 11 Big Sur

Reacties (135)

monojack 16 november 2020 10:46

Of een kleine reality check: Does Apple really log every app you run? A technical look

Blokker_1999

Besturingssystemen

@monojack • 16 november 2020 11:01

En toch is die blogpost niet correct. Even uit de tl;dr:

No, macOS does not send Apple a hash of your apps each time you run them.

En ja, er wordt geen hash gestuurd van de app, maar wel het certificaat ter verificatie. Daarbij haalt hij in het artikel aan dat dit certificaat niet uniek is per applicatie (correct) en daarom minder zwaar doorweegt als schending van je privacy.

Maar dat laatste is dus fout. Een certificaat als dat van Mozilla kan niet veel kwaad. Leuk, je gebruikt een alternatieve browser (mogelijks wel een manier om een aanval op te zetten als er een 0-day gevonden wordt in hun software), maar wat als het om uitgevers van andere apps gaat. Apps die wel gevoelig kunnen liggen bij vele mensen? Dan wordt het toch echt wel een privacy issue lijkt mij.

Lezen we dan verder in de tl;dr

You should be aware that macOS might transmit some opaque information about the developer certificate of the apps you run. This information is sent out in clear text on your network.

Nergens in de uiteenzetting gaat hij dieper in op het feit of dit telkens je een app lanceert gebeurd of niet. Toch zet hij in zijn samenvatting dat het mogelijks gebeurd (en het bold is van hem, niet van mij). Het lijkt mij evenwel dat deze check bij elke launch van die app plaats vind al heeft trustd wel een grace period waarin het niet opnieuw gaat controleren. Alleen is op dit moment onbekend hoe lang die is.

Op het feit dat deze controle gewoon over http gebeurd maakt hij zich evenwel geen zorgen. Al heel wat jaren is men bezig om zoveel mogelijk op https te krijgen, en met goede redenen, maar hier maakt het ineens niet uit voor de poster dat het gewoon over http gaat. Heel die blogpost lijkt me dan ook geschreven door iemand die ofwel de ernst niet in ziet danwel iemand die vooral Apple wil verdedigen.

monojack @Blokker_1999 • 16 november 2020 12:42

Maar wat je beschrijft is wel iets totaal anders dan wat Jeffrey Paul beweerde. Het is dus niet zo dat Apple je bespioneert of weet ik welke conclusies daar ook nog eens zijn uitgetrokken. De privacy kan nog beter geregeld worden.

Dat je Apps data versturen naar Apple om zich te identificeren zou als Apple gebruiker logisch moeten zijn om te begrijpen. Apple roept niet voor niets dat het veiligheid hoog in het vaandel voert. Wat je als Apple gebruiker wel verwacht is dat de privacy dan ook op orde is want dat is hun ander punt waar ze zo graag mee uitpakken. Daar hebben ze dus een klein steekje laten vallen want voor die kleine groep waar het levensbelangrijk is dat niemand kan weten welke apps ze gebruiken kan er mogelijks een probleem zijn geweest.

Conclusie blijft dus Apple bespioneert je niet maar hun privacy kan wel nog beter.

kodak @monojack • 16 november 2020 15:33

Als een bedrijf (zoals apple) zonder je een keuze in te geven wanneer ze iets krijgen, zonder je te vragen of ze de gegevens wel mogen hebben, zonder je controle te geven welke gegevens ze ontvangen, via onveilige communicatie, gaan verwerken dan kan je moeilijk stellen dat het geen spioneren is. Dat ze zeggen er niet zo veel mee te doen maakt dat niet anders. Het punt is dat de gebruiker geen weet en geen controle heeft over wat het bedrijf doet, tot je gaat klagen. Dat apple achteraf dan wel een antwoord geeft maakt het iets beter, maar het verkrijgen en verwerken nog niet zomaar minder genieppig en zonder medeweten of met toestemming.

Asitis @monojack • 16 november 2020 15:29

Geen enkel techbedrijf of social media platform bespioneert jou. Zelfs Facebook bespioneert jou niet. Ze verzamelen alleen een shitload aan data die anderen (of zijzelf) vervolgens kunnen gebruiken/misbruiken om jou wel te bespioneren/bespelen/manipuleren/vermarkten.

M.a.w. volgens mij is "apple bespioneert" en "hun privacy(handling) kan beter" hetzelfde in deze context.

monojack @Asitis • 16 november 2020 16:06

Google en Facebook bespioneren je wel. De data die ze over je vergaren gebruiken ze tegen je om je dingen te laten doen zoals likes uitdelen of aankopen doen.

tweaknico @monojack • 18 november 2020 09:29

Maar apple faciliteert andere bedrijven wel om jouw data te mis/ge-bruiken....
Applie is ook data leverancier voor PRISM.

Dit maakt het mogelijk ook duidelijker:
https://sneak.berlin/20201112/your-computer-isnt-yours/

monojack @tweaknico • 18 november 2020 10:05

Misschien maakt dit het misschien wat duidelijker voor jou Does Apple really log every app you run? A technical look

tweaknico @monojack • 18 november 2020 10:22

Lees AUB het HELE artikel, inclusief de commentaren. Dat artikel dat je noemt wordt met name genoemd...
Het claimd geen "HASH" maar er staat "hash" in het screenshot.
En kijk naar het aantal Apps dat door elke leverancier gemaakt wordt. Hiermee is een OCSP hash (=App-bouwer) vrijwel gelijk aan App-identificatie.

OCSP is niet encrypted en kan door iedereen van de kabel geplukt worden (Sleepnet wetgeving vergeten)
CTIVD geeft aan dat er data on gescreened verzonden is... Het kan ook vlak bij Apple van de kabel geplukt worden (bv. NSA op verzoek van AIVD/MIVD..).
Je ISP kan meekijken en oogsten en verhandelen.
In NL niet toegestaan (KPN wilde er ooit wel een business model van maken), in de US een groot probleem.
Apple levert data blind op verzoek via PRISM aan US overheid (vrij breed collectief van afnemers).

Ook de maatregelen die Apple noemt zijn wat vaag. Als zij de IP logs verwijderen is het nog steeds op te vangen (Apple servers zijn niet nodig, alleen toegang tot de kabel van het Apple DC).

monojack @tweaknico • 18 november 2020 10:30

Ik heb dat artikel al gelezen en het staat vol onzin en specualtie. Zo beweert hij dat Apple nog steeds informatie zou delen met PRISM. Dat is pure speculatie want niemand buiten (mogelijks) Apple en de NSA weet wat er zich heeft afgespeeld rond PRISM. Men weet niet of Apple een deal had rond PRISM of dat de NSA gebruik maakte van infiltratie om aan data te komen. Apple heeft altijd ontkent dat het een deal had rond PRISM. Dus pure speculatie

Nogmaals. Ik heb je de link gegeven. Lees nu wat er echt gebeurd

[Reactie gewijzigd door monojack op 24 juli 2024 17:53]

tweaknico @monojack • 18 november 2020 11:00

PRISM is niet noodzakelijk om de data van de kabel te plukken, het maakt data collectie alleen wat makkelijker voor US overheid. PRISM gaat alleen over intra USA data, voor alles met het buitenland is geen rechtbank (FISA) vordering noodzakelijk.
Uit het artikel:

No, macOS does not send Apple a hash of your apps each time you run them.
You should be aware that macOS might transmit some opaque information about the developer certificate of the apps you run. This information is sent out in clear text on your network.
You shouldn’t probably block ocsp.apple.com with Little Snitch or in your hosts file.

1) Kan ik persoonlijk niet valideren...
2) Klopt, het is het developer certificaat: hoeveel leveranciers heten Signal en hoeveel applicaties levert Signal?... in hoeveel gevallen maakt een leverancier meer dan 1 applicatie?
3) Een update in BigSur gaat juist over trustd die buiten de bewaking van Little Snitch valt en die buiten VPN's om werkt.... dus in hoeverre dat nog haalbaar is?
Nogmaals het gaat niet direct over Apple, maar over infra in z'n geheel.

Er is ook een andere oplossing mogelijk... Met een bloomfilter over alles wat toegestaan is kan ieder device dat filter downloaden en vervolgens lokaal vragen of het certificaat nog geldig is..., of mogelijk alleen voor vervallen certificaten. Daarmee is realtime access helemaal niet nodig en is privacy ook niet in het geding.
Op die manier had Apple kunnen laten zien dat het privacy vooropstelt en respecteert, en niet als nagedachtenis.

Een beetje hieraan gerelateerd is de commotie rond de Coronavirus app. (het voorstel vanuit de verschillende EU universiteiten: https://github.com/notifi...=repo%3ADP-3T%2Fdocuments )

monojack @tweaknico • 18 november 2020 11:24

Apple stelt privacy voorop en dat wordt steeds duidelijker dankzij die bogus claim van Jeffrey Paul.
Goed dat je het artikel dan uiteindelijk toch gelezen hebt. Nu ben je weer wat mee.

tweaknico @monojack • 18 november 2020 12:36

Centralisatie van meldingen, autorisaties, etc. is niet privacy vriendelijk. al helemaal niet als dat realtime is.
Ik heb nog nergens gelezen dat Apple over gaat naar een off-line bloomfilter oid. (Dat werkt decentraal).

monojack @tweaknico • 18 november 2020 13:05

Het kan beter maar laten we gewoon stoppen met die onzin zoals "Maar apple faciliteert andere bedrijven wel om jouw data te mis/ge-bruiken.... " of "Applie is ook data leverancier voor PRISM."

Superstoned @monojack • 21 november 2020 00:06

Jeffrey's claim blijkt gewoon te kloppen, de 'debunk' was onzin. Feiten zijn: elke keer als je een app opent op je Mac stuurt die Mac de hash van het dev certificaat in plain tekst naar apple. Dat is door niemand ontkent daar iedereen met een simpele netwerk sniffer dit kan zien en apple heeft eindelijk aangegeven dit te gaan fixen.

Daar 95% van de app certificaten voor 1 of 2 apps zijn kan iedereen die het verkeer van een apple gebruiker kan afluisteren precies zien wanneer ze een app openen. Als je dat wilt blokken heb je pech, apple doet enorm hun best te zorgen dat je dit niet kan blokkeren of anonimiseren door een vpn - super anti-privacy dus.

En dit is al jaren zo dus het hele verhaal van apple geeft om je privacy, iets wat sowieso natuurlijk gewoon marketing is, is nu wel debunked. (Het was al onzin - elke keer als jij op je iPhone de search gebruikt wordt alles wat je typed realtime naar Google gestuurt want ja apple krijgt daar geld voor en dat is veel meer waard dan jouw privacy)

[Reactie gewijzigd door Superstoned op 24 juli 2024 17:53]

elmuerte @Blokker_1999 • 16 november 2020 11:59

> Apps die wel gevoelig kunnen liggen bij vele mensen? Dan wordt het toch echt wel een privacy issue lijkt mij.

Precies dit. Hoeveel apps hebben de makers van Signal in de store staan?

armageddon_2k1 @elmuerte • 16 november 2020 14:31

En aangezien de OCSP requests niet via HTTPS gaan is het af te vangen door een overheid en zodoende te tracken wie wat gebruikt en op basis daarvan in de gaten te houden.

tweaknico @armageddon_2k1 • 18 november 2020 10:25

Niet alleen een overheid, maar iedereen op het traject tussen je toestel en Apple. Ook ISP, kabel verhuur, (AMS|*)IX, ...

BitProcessor @Blokker_1999 • 16 november 2020 20:27

Ivm je laatste paragraaf, uit diezelfde post:

To make things worse, it is common for OCSP to use HTTP - I’m talking about good old plaintext HTTP on port 80, none of that HTTPS rubbish. There is usually a good reason for this, that becomes especially clear when the OCSP service is used for web browsers: preventing loops. If you used HTTPS for checking a certificate with OCSP then you would need to also check the certificate for the HTTPS connection using OCSP. That would imply opening another HTTPS connection and so on.

Of course while OCSP does not mandate encryption, it does require that responses are signed by the server. This still doesn’t solve the initial concern that anyone with a traffic analyzer on your network could eavesdrop every app you open and when you open it.

Anonymoussaurus @monojack • 16 november 2020 10:55

Dit is ook een leuke: https://sneak.berlin/20200604/if-zoom-is-wrong-so-is-apple/. Apple is de zogenaamde heilige graal qua privacy. Bewijst maar weer dat het niet zo is.

[Reactie gewijzigd door Anonymoussaurus op 24 juli 2024 17:53]

janbaarda @Anonymoussaurus • 16 november 2020 11:21

Apple is de eigenaar van jouw Mac: https://puri.sm/posts/apple-users-got-owned/

Anoniem: 1322 @janbaarda • 16 november 2020 12:00

Wat een dikke onzin... Als jij je netwerk verbinding uitschakelt dan waren alle problemen verholpen, waren er geen certificaat checks en had jij dus prima met je een Apple apparaat kunnen werken.

Dit is ook helemaal geen Apple specifiek probleem. Alle OS bouwers ondertekenen hun binaries en raad eens: allemaal hebben ze de macht om een certificaat in te trekken. Daar is ook niets mis mee en zorgt dat wij veilige en gevalideerde binaries hebben.

Ik kom dit soort problemen al jaren tegen bij organisaties die internetverkeer 'limiteren'. Als je CRL's gaat blokkeren worden veel Windows apps heel traag zoals bijvoorbeeld Navision (tegenwoordig Dynamics).

/edit: Hoe is dit offtopic?

[Reactie gewijzigd door Anoniem: 1322 op 24 juli 2024 17:53]

janbaarda @Anoniem: 1322 • 16 november 2020 12:06

Als jij je netwerk verbinding uitschakelt dan waren alle problemen verholpen, waren er geen certificaat checks en had jij dus prima met je een Apple apparaat kunnen werken.

Dat is dus maar ten dele het geval. Big Sur bepaalt wat je mag installeren. Bij koppeling aan het internet (wie doet dat eigenlijk nog?) wordt bovendien in real time getest of je stiekem geen "verboden" programma's draait.

Onder het mom van "beveiliging" wordt veel controle goedgepraat.

[Reactie gewijzigd door janbaarda op 24 juli 2024 17:53]

apt @janbaarda • 16 november 2020 12:19

... wordt bovendien in real time getest of je stiekem geen "verboden" programma's draait.

Ik heb nog niemand dit met een bron zien onderbouwen. Dus graag een bron.

Zwelgje @apt • 16 november 2020 16:36

niet zozeer 'verboden' apps in de letterlijke zin van het woord maar wel apps die schadelijk zijn voor het systeem worden op deze manier geïdentificeerd. (gatekeeper) en ja dat is in realtime en niet dat is niet stiekem want dat doet OSX/MacOS al jaren en dat is gewoon bekend.

Zezura @janbaarda • 16 november 2020 17:20

Ik vraag me af of je een MacBook hebt, of überhaupt genoeg kennis hebt van MacOS want je kan gewoon alles installeren en openen wat je maar wil. Maar daar heeft Apple wel geniaal bedacht dat je naar het instellingen menu moet en dan naar het kopje beveiliging en moet op de knop toch installeren klikken. En dat maakt je bewust van het feit dat je met riskante dingen bezig bent. In vergelijking met Windows waarbij niet normaal vaak de melding krijgt dat een programma wijziging wil maken aan je computer. Vraag me af hoeveel mensen dat nog lezen, denk eerder dat ze gewoon op Oke drukken zonder na te denken.

xoniq @Zezura • 17 november 2020 01:32

Heb jij wel genoeg ervaring met macOS?

Rechtermuisklik (of CTRL+klik) > Openen

Dan komt er een extra optie om toch te openen. Hoef je niet voor naar instellingen. En deze keuze krijg je een keer, volgende keer kan je gewoon openen omdat je de app toestaat.

Zezura @xoniq • 17 november 2020 14:38

Dankje voor de tip. Laten we maar zeggen dat gewone gebruikers dat niet weten en dat via mijn manier moeten doen. Dus beter zo. Maar je hebt duidelijk kennis van macOS

[Reactie gewijzigd door Zezura op 24 juli 2024 17:53]

xoniq @Zezura • 17 november 2020 18:06

Was maar een geintje hoor

Zezura @xoniq • 17 november 2020 22:47

Got me😂

Aaargh! @janbaarda • 16 november 2020 12:10

En terecht, wat mij betreft mag het nog wel veel strenger dichtgespijkerd worden. De gemiddelde gebruiker is niet in staat om zelf z'n machine veilig te houden, dat zal het OS dus voor ze moeten doen. Zelfs grote organisaties hebben hun zaakjes niet op orde. Zolang mainstream OS-en nog zomaar arbitraire, unsigned code kunnen uitvoeren zal je dit soort ellende blijven houden.

[Reactie gewijzigd door Aaargh! op 24 juli 2024 17:53]

Wolfos @janbaarda • 16 november 2020 12:52

Dat is gewoon een antivirus die z'n werk doet.

Anoniem: 1322 @janbaarda • 16 november 2020 13:35

Heb je een bron voor je bewering dat Big Sur bepaalt wat je mag installeren? Ik kan mij dit helemaal niet voorstellen gezien laptops vaak geen internetverbinding hebben als ze onderweg zijn.

TheVivaldi @Anoniem: 1322 • 16 november 2020 12:36

Wat een dikke onzin... Als jij je netwerk verbinding uitschakelt dan waren alle problemen verholpen, waren er geen certificaat checks en had jij dus prima met je een Apple apparaat kunnen werken.

En dan kun je dus niet tegelijkertijd internetten en apps openen? Lekker, hoor.

Anoniem: 1322 @TheVivaldi • 16 november 2020 13:11

Dit is een directe reactie op het gelinkte artikel. Ieder OS werkt zo dus dit is niets nieuws en heeft ook niet specifiek met Apple te maken.

Je opmerking slaat dus ook nergens op. Ik geef aan dat het probleem verholpen is als je geen internet verbinding hebt. Dit gold alleen voor de (korte) tijd dat deze storing er was. Deze storing kan ook gewoon op Windows voorkomen, daar is niets vreemds aan. Sterker nog, een soortgelijke storing deed zich niet zo lang geleden voor:
nieuws: Zoekfunctie van Windows 10 werkt wereldwijd niet

Ter illustratie, je eigen zin:
En dan kun je dus niet tegelijkertijd internetten en start menu gebruiken? Lekker, hoor.

TheVivaldi @Anoniem: 1322 • 16 november 2020 13:13

Dit is een directe reactie op het gelinkte artikel. Ieder OS werkt zo

Nee hoor, alleen Windows en macOS. Op Linux, Haiku, Android, etc. werkt dat zo helemaal niet.

Anoniem: 1322 @TheVivaldi • 16 november 2020 13:50

Oh Really? Goed onderbouwd

https://developer.android.com/studio/publish/app-signing
Android requires that all APKs be digitally signed with a certificate before they are installed on a device or updated.
https://www.linux-magazin...rity-Lessons-Signing-Code
Most major Linux vendors sign their software and source code packages

Ik heb geen idee wat Haiku is....

TheVivaldi @Anoniem: 1322 • 16 november 2020 13:52

Haiku is qua *naam* een bekend besturingssysteem omdat ze voortbouwen op BeOS.

En leuk, die voorbeelden van jou, maar ik had het niet over het wel of niet ondertekenen van pakketten maar over het kunnen gebruiken van software als er serverproblemen bij de maker zijn. Op Linux, Haiku, Android, etc. kun je apps, de "startmenu's", etc. gewoon blijven gebruiken als de servers van de maker platliggen. Op macOS is dat anders (zie artikel) en op Windows ook (zie je eigen voorbeeld over de zoekfunctie).

Anoniem: 1322 @TheVivaldi • 16 november 2020 14:23

Op Linux, Haiku, Android, etc. kun je apps, de "startmenu's", etc. gewoon blijven gebruiken als de servers van de maker platliggen.
Ik denk niet dat het de bedoel is van iedere software bouwer om hun gebruikers plat te leggen als ze een storing hebben. Dit waren ongewone situaties waarbij een service overbelast raakte.

Google, Apple en Microsoft kunnen op ieder moment applicaties terugtrekken. Dit werkt via application signing (het certificaat wordt gewoon ingetrokken). Zie ook als voorbeeld:
nieuws: Google verwijdert op afstand twee Android-applicaties van toestellen

Ja, de grote linux distributies signen alleen de packages maar genoeg van die packages vereisen daarna nog steeds geldige certificaten. Denk je echt dat Firefox op linux geen CRL checks uitvoert? Heb je wel eens een Java unsigned applet error gezien? De hele wereld draait zowat op certificaten... Iedere SSL verbinding die je ziet werkt meestal met certificaten..

Mijn punt is dat iedereen dit systeem gebruikt in alle lagen van een computer (van OS tot applicatie). Zeggen dat dit 'helemaal niet zo is' is leuk maar niet onderbouwd. Ik kijk uit naar een goede bron waaruit blijkt dat dit anders is..

[Reactie gewijzigd door Anoniem: 1322 op 24 juli 2024 17:53]

Jerie

@Anoniem: 1322 • 17 november 2020 14:04

Het bijzondere is dat de requests via plaintext gaan. Ze zijn dus te blokkeren en aan te passen (MITM).

Anoniem: 1322 @Jerie • 17 november 2020 15:51

Dit soort technieken zijn heel oud en helemaal niet ontworpen met veiligheid in gedachte. Iedereen is hier dus gevoelig voor en daarom geeft Apple aan een nieuw systeem hiervoor te gaan ontwikkelen.

Jerie

@Anoniem: 1322 • 18 november 2020 00:05

https://en.m.wikipedia.org/wiki/OCSP_stapling

Bekende mitigatie die Apple willens en wetens niet heeft toegepast.

Ondertussen leidt dit alles de aandacht af van het andere probleem dat een Little Snitch dev heeft aangekaart.

Anoniem: 1322 @Jerie • 18 november 2020 09:48

OCSP stapling zegt niets over encryptie en zorgt alleen dat de request door een Apple web server wordt afgehandeld in plaats van een CA. Akamai zorgt hiervoor bij Apple. Apple is een klant en ik denk niet dat Akamai profijt heeft van het naaien van een grote klant.

Jerie

@janbaarda • 17 november 2020 14:04

Iets overdreven. Je hoeft Big Sur niet te draaien. Ik draai nog steeds Catalina, en daar blijf ik voorlopig ook op op mijn privélaptops.

SwaggyEggs @Anonymoussaurus • 16 november 2020 12:41

Conclusie iCloud uitzetten voor je online data en cryptomator oid gebruiken. Overigens geloof ik dat Keychain wel echt zero knowledge is: https://support.apple.com/en-us/HT202303, volgens die link is er dus daadwerkelijk iCloud data waar Apple/FBI, al zouden ze willen, niet bij kan. Maar inderdaad foto's op iCloud zijn dus _niet_ echt beveiligd qua privacy. Ik heb op basis van die pagina ervoor gekozen een iPhone 12 pro te kopen. Nu maar hopen dat ik niet voor de gek gehouden word.

Anoniem: 1322 @SwaggyEggs • 16 november 2020 13:45

Yep, als je icloud gebruikt moet je er van uitgaan dat deze data af wordt gegeven wanneer een amerikaanse overheidsdienst hier om vraagt. Bijna alle icloud data is namelijk niet versleuteld voor Apple zelf. Iets dat geld voor bijna alle cloud diensten, trouwens. De US is hier ook niet echt bijzonder want hier in NL mag de belastingdienst ook alles opvragen en staan zo goed als boven de wet. In de US hoeven de inlichtingendiensten alleen niet zoveel uitleg te geven wat ze aan het doen zijn.

Je kunt al deze diensten echter gewoon uitschakelen en je bent niet verplicht om met icloud te werken. Met bijvoorbeeld een goede NAS kun je alles faciliteren zoals backup, foto sync en drive sync oplossingen.

DefaultError @monojack • 16 november 2020 19:43

De wijzigingen gaan nog wel een tijd duren en ondertussen krijgt Apple een claim aan hun broek van Max Schrems. Apple blijkt uit onderzoek een soort van reserve cookies te gebruiken om het app en surfgedrag te analyseren en advertenties hierop aan te passen.

“Privacy built in”?

GekkePrutser @monojack • 16 november 2020 16:18

Wel een puntje: Tot vorige week werd het die check degelijk maar 5 minuten gecacht, maar dat is door Apple verhoogd naar 12 uur als reactie op de problemen.

En de developer is in veel gevallen natuurlijk meer dan voldoende om de app te identificeren. Veel developers maken maar 1 app of in elk geval maar 1 die populair is.

Maar het ergste vind ik wel dat Apple sinds Big Sur gewoon domweg firewalls als Little Snitch naast zich neerlegt voor hun eigen dingen. En dat wordt vooralsnog niet aangepast.

[Reactie gewijzigd door GekkePrutser op 24 juli 2024 17:53]

wica 16 november 2020 10:48

Bij onderzoek naar de aard van de app-problemen, benadrukten beveiligingsonderzoekers als Jeffrey Paul dat de OCSP-requests onversleuteld verzonden werden.

Waarom dit in verleden tijd? Ik heb nog geen goedgekeurde RFC voorbij zien komen, waardoor OCSP in eens over HTTPS gaat.
Is ook vrij lastig, aangezien je OCSP gebruikt om te controleren of een certificaat nog geldig is.

Moartn @wica • 16 november 2020 10:54

Als OCSP over HTTPS zou moeten lopen, krijg je dan niet theoretisch een oneindige loop? Want het certificaat van de OCSP server moet dan gecontroleerd worden bij een andere OCSP server, die ook weer een certificaat heeft wat gecontroleerd moet worden, etc.

MadEgg

Besturingssystemen

@Moartn • 16 november 2020 11:02

Dat zou met OCSP stapling moeten gebeuren. OTOH, alle HTTPS requests zouden van stapling gebruik moeten maken. Ik zet OCSP ook altijd uit waar dat kan, het is een enorm privacy leak. Stapling is de enige juiste methode.

zvbhvb @Moartn • 16 november 2020 11:51

Dan stuur je OCSP toch over een vpn.

Snap niet dat Apple niet standaard een VPN service aanbied. Qua kosten mag dat niets uitmaken waar mensen bereid zijn om premium te betalen.

SED @zvbhvb • 16 november 2020 12:38

Kijk hierboven even naar de posting waarin aangegeven wordt dat eigen Apple apps je VPN negeren.

zvbhvb @SED • 16 november 2020 12:57

Dat snap ik, bedoelde eigenlijk dat Apple een VPN dienst zou kunnen aanbieden zoals Google ook van plan is. Niet je eigen VPN verbinding. Weet ook wel dat dat nu juist het probleem is.

Al is het relatief makkelijk te omzijlen.

wica @Moartn • 16 november 2020 10:58

Dat is correct en ook het probleem met OCSP. We encrypten onze DNS verzoeken, maar aan de andere kant geeft de browser nog veel info weg.

Blokker_1999

Besturingssystemen

@wica • 16 november 2020 11:03

Alleen kan het hier in principe wel omdat diegene die gaat controleren en diegene die het resultaat geeft door eenzelfde bedrijf wordt beheerd. Dan kan je perfect je OCSP over https gaan doen en indien gewenst het certificaat hardcoden in je app. Uiteindelijk is het nog altijd beter dan gewoon over http te gaan.

P1nGu1n

@wica • 16 november 2020 10:56

Is dit bij OCSP stapling ook niet het geval? Dit is in ieder geval beter voor privacy, aangezien de server de OCSP request doet ipv de client.

Epiphany 16 november 2020 10:45

Kwam ook dit nog tegen, vind dit ook heel kwalijk vanuit een privacy en security perspectief:
https://twitter.com/patri.../1327726496203476992?s=21

[Reactie gewijzigd door Epiphany op 24 juli 2024 17:53]

iAR @Epiphany • 16 november 2020 10:53

Wat zie ik hier precies?

MiesvanderLippe @iAR • 16 november 2020 10:58

Apple apps negeren de VPN en firewall die een gebruiker instelt en gebruiken altijd de normale verbinding met het netwerk. Dit betekent dat wanneer een gebruiker geen pakketten wil versturen, dit alsnog kan gebeuren. Daarbij kan malware ondanks het gebruik van een firewall die uitgaande verbindingen blokkeert pakketten versturen. Ook kan malware dus gegevens buiten de VPN om bestanden naar buiten loodsen. Hiervoor is een trucje (verkeer toevoegen aan een uitgaande verbinding van een Apple app) nodig maar dat is wel overzichtelijk.

[Reactie gewijzigd door MiesvanderLippe op 24 juli 2024 17:53]

iAR @MiesvanderLippe • 16 november 2020 12:44

Zoiets meende ik al. Dus thridparty apps moeten wel via de firewall (zoals bijvoorbeeld Little Snitch ook)?
Maar toch vraagt ie hier bij mij of hij er door mag.
En hoe groot is de kans dat malware er door komt. Apple apps staan sinds Catalina toch op een read only volume?

MiesvanderLippe @iAR • 16 november 2020 13:13

Je hoeft de originele app niet aan te passen om toch het verkeer te kunnen manipuleren. En je kan het versturen van data 'triggeren' dus op die manier is er controle over wanneer er data naar buiten geloodst kan worden.

Of Little Snitch de verbindingen nog kan blokkeren is me onduidelijk.

Ik denk dat dit hele gebeuren uiteindelijk een storm in een glas water is en dat het in de volgende update weer anders zit. Verkeer buiten firewall en VPN om is natuurlijk compleet onacceptabel, zeker voor zakelijke klanten.

jorndejager 16 november 2020 11:43

https://www.youtube.com/w...aXM&ab_channel=SunKnudsen

Patch met duidelijke uitleg zodat je Mac niet meer de server van apple kan bereiken en geen gegevens meer kan versturen.

obimk1 16 november 2020 11:03

Apple gebruiker sinds 1995, en ik ken de weg op UNIX systemen en terminal.

Apple heeft de security van Mac OS, de afgelopen jaren flink "opgepept"

SIP's, read only maken van bepaalde UNIX systeem folders, Systeem wijde encryptie, Gatekeeper en nog meer "voorzieningen"

Catalina al gespot, maar met Big Sur is Apple super irritant geworden, met SUDO, SU, Admin user (met het juiste PW) kan ik alles "manipuleren" op een UNIX systeem. Echter ,met BIG SUR, zijn er weer meer "gedeelten" van het OS "Read Only" gemaakt, en als ik dat als "admin" dat anders wil zetten, WEIGERT BIG Sur OMDAT "IK NIET GENOEG PERMISSIES EN PRIVILEGES HEB"

WTF Apple, dit is een GROVE schending van UNIX "principes", draai deze shit terug, Apple idioten!

Heb veel geïnvesteerd in het Apple ecosysteem, maar met deze shit, overweeg ik over te stappen.

[Reactie gewijzigd door obimk1 op 24 juli 2024 17:53]

smiba @obimk1 • 16 november 2020 11:10

Maat, voor dat je zo'n grote reactie schrijft kan je je zelf ook de hoofdpijn besparen en gewoon SIP uitschakelen...

SIP is voor vele die niet tweaken in hun OS een vrij goede functie, alleen voor 1% van de gebruikers (jij, ik, sommige mede-tweakers) zou dit iets zijn wat je zou willen uitschakelen.

Hier hoe je SIP uitschakelt op je apparaat: https://developer.apple.c...mIntegrityProtection.html

[Reactie gewijzigd door smiba op 24 juli 2024 17:53]

johnbetonschaar @smiba • 16 november 2020 11:33

In Big Sur is het schijnbaar weer een stuk lastiger en kan je niet zomaar met csrutil SIP uitschakelen en daarna systeem files editen, omdat de complete systeem partitie geencrypt en gesigned is. Wat ik er van begrijp is dat zelfs met SIP uit je geen systeem files kunt veranderen zonder handmatig het volume te decrypten, en na de wijzigingen opnieuw te encrypten en signen.

Ik vraag me wel af waarom je hier zelfs als pro-gebruiker moeilijk over zou down, want alle relevante configuratie die zinvol is om zelf aan te passen staat volgens mij buiten de partitie die met SIP beveiligd is. In oudere macOS versies was het af en toe nog gebruikelijk om in /System/Library te gaan zitten poeren, die directory is nu gewoon off-limits, maar je kunt nog wel steeds in /Library schrijven om OS-level configuratie te doen.

Waarom zou je zelf aan de OS binaries gaan zitten sleutelen, behalve omdat je 'uit principe' vindt dat dat mogelijk moet zijn?

maratropa @johnbetonschaar • 16 november 2020 12:35

Het zijn wel allemaal stapjes naar een ios stijl “grote telefoon” waarbij je bijv. niks meer buiten de appstore kunt installeren. Staat geheid op de planning, de vraag is wanneer..

Blizz @johnbetonschaar • 16 november 2020 12:48

Alle intensieve tweaks hebben het bijltje erbij neergegooid, denk aan tweaks van het type Flavours en TotalFinder/XtraFinder of kleinere tweaks die gebruik maken van een substrate om te laden (ben even de naam kwijt maar ik gebruikte onder meer het pakket om de volume pop-up aan te passen). Deze software, die het systeem zelf tweakt, is vaak niet meer mogelijk zonder SIP bij installatie of permanent uit te schakelen of zonder continu extra helperproces. Vergelijkbaar met hoe een app zoals iStat Menus een ongelimiteerde versie heeft en een beperkte Mac App Store variant, maar dan op systeemniveau.

macOS wordt steeds meer iOS: gebruik het systeem zoals Apple dat wilt of gebruik het niet.

johnbetonschaar @Blizz • 16 november 2020 13:06

Klopt, en dit is weliswaar jammer maar een beweging die letterlijk al 20+ jaar geleden is ingezet. In MacOS Classic kon ieder proces nog gewoon elkaars geheugen zien, toen kwam er memory protection, kexts gingen eruit, er kwam sandboxing, signed system binaries en nu dus volledige bescherming van de systeem partitie. De inzichten wat een desktop-systeem voor de 'gemiddelde gebruiker' veilig maakt zijn gewoon veranderd/verbeterd, en persoonlijk vind ik het ook niet heel vreemd om te zeggen dat het niet nodig zou moeten zijn dat applicaties systeem bestanden moeten kunnen wijzigen of via plugins in dezelfde memory space kunnen draaien etc. Overigens zie je precies dezelfde beweging op Windows.

Als je absolute controle wil dan zijn systemen als macOS en Windows gewoon niet waar je moet zoeken. Persoonlijk snap ik niet zo waarom alles altijd zo zwart/wit moet zijn, ik hou ook van tweaken en aanpassen etc. maar ik zie ook de voordelen van de filosofie van macOS en Windows, waar de integriteit van het besturingssyteem belangrijker wordt geacht dan de mogelijkheid om elk aspect te tweaken. Het is ook niet zo dat je niet alsnog gewoon bijvoorbeeld een Linux VM kunt draaien op macOS, of dat er nu complete use cases onmogelijk gemaakt worden, voor veel van de software die niet meer werkt vanwege SIP zijn alternatieve, veiligere API's beschikbaar.

gybrus @obimk1 • 16 november 2020 11:09

Naar mijn weten kun je dit via de recoverymode uitschakelen met `csrutil`. Redelijk irritant dat je moet rebooten, maar nu niet zo een groot drama dat je helemaal niks meer kan.

obimk1 @gybrus • 22 november 2020 15:00

Dat had ik gedaan onder Catalina, maar onder Big Sur kon ik weer hetzelfde doen. Wordt een beetje ziek ervan dat Apple deze beslissing uit handen heeft genomen.

Ben ook een ervaren UNIX gebruiker, en ook Big Sur ondermijnt dit principe. (ADMIN, SUDO, SU werkt ook niet meer goed)

Anoniem: 1409490 16 november 2020 11:02

En ik maar lezen dat Apple enkel verdient aan hardware/software, en het daarom heel goed is voor je Privacy

Je kunt simpelweg geen enkel bedrijf vertrouwen met je gegevens als je echt om privacy. Sommige bedrijven als Google geven openlijk toe je data te analyseren en je privacy te overschrijden, en andere bedrijven als Apple spelen dat je ze kunt vertrouwen, maar zijn meer een wolf in schaapskleren.

monojack @Anoniem: 1409490 • 16 november 2020 11:29

En waar lees je dat Apple geld verdient aan het checken op malware? Moest je wat dieper inlezen over het onderwerp dan ga je merken dat er echt niet veel aan de hand is. Apple is totaal niet bezig met je app gebruik te monitoren of data over je te verzamelen. Waar het over gaat is dat Apple nog meer zijn best kan doen om onze privacy te beschermen. Je data is nog steeds veiliger bij Apple toestellen dan bij een advertentiebedrijf wiens businessmodel het is jouw aankoopgedrag te manipuleren.

SwaggyEggs @monojack • 16 november 2020 12:44

Het probleem is, monojack, dat je dat dus niet onafhankelijk kan vast stellen. De code is niet inzichtelijk. Je moet Apple er maar op geloven.

monojack @SwaggyEggs • 16 november 2020 13:00

In dat geval moet je de geschiedenis van het bedrijf gaan bekijken en in hoeverre ze te betrouwen zijn. En dan hebben we het over feiten die te verifiëren zijn en dan heeft Apple wel een goede track record. Het zou vreemd zijn dat ze net over hun privacy niet eerlijk zijn, terwijl ze dat over het algemeen wel over andere zaken zijn.

SwaggyEggs @monojack • 16 november 2020 13:12

Monojack, pas dan eens toe wat je zelf zegt. Apple monitort wel, zie : ebx in 'nieuws: Apple begint volgende maand met 'privacylabel' voor apps op iOS'

monojack @SwaggyEggs • 16 november 2020 13:17

"Apple monitort" ... wat? Wat monitort Apple? En naar wat link je? Je linkt naar een reactie waar je zegt dat Google geen data verkoopt. Ja so what?

SwaggyEggs @monojack • 16 november 2020 13:26

At times Apple may provide third parties with certain personal information to provide or improve our products and services, including to deliver products at your request, or to help Apple market to consumers. When we do, we require those third parties to handle it in accordance with relevant laws.

Apple deelt je data, dus apple verzamelt je data. Volgens mij wil je het gewoon niet geloven.

monojack @SwaggyEggs • 16 november 2020 13:38

Als je dat goedkeurt. Zelfde vindt je terug bij de voorwaarden van Google

Captain Jorg @SwaggyEggs • 16 november 2020 22:10

Maar Apple monitort dat niet als je de analytics niet shared, correct? Dat is een vraag die je na vrijwel elke update krijgt en ik druk steevast op nee.

Edit: Apple wordt meer vertrouwd voor privacy omdat ze daar financieel gaat bij hebben. Een hoop mensen kiezen oa voor Apple vanwege deze bescherming.
Daarom vertrouw ik Apple qua privacy meer dan Google. Geen feitelijke onderbouwing

[Reactie gewijzigd door Captain Jorg op 24 juli 2024 17:53]

MadEgg

Besturingssystemen

16 november 2020 11:04

Ik wacht nog maar even met Big Sur. Little Snitch is een van mijn vaste tools, en die gebruik ik o.a. om een groot deel van Apple services te blokkeren. Zeer kwalijk dat ze zichzelf daar nu een omweg omheen geven. En dan niet alleen voor systeemservices wat nog enigszins begrijpelijk zou zijn, maar ook typische user space apps zoals Facetime schijnen hiervan gebruik te maken.

Ik kijk de kat voorlopig even uit de boom. Al gaat de upgrade vast geforceerd worden op den duur.

laptopleon @MadEgg • 16 november 2020 11:57

Little Snitch monddood maken, dat vind ik ook echt niet kunnen, maar hoe kom je op het idee dat een macOS upgrade geforceerd gaat worden? Dat is nog nooit gebeurd. Het is onwaarschijnlijk dat ze dat nu wel zouden gaan doen.

MadEgg

Besturingssystemen

@laptopleon • 16 november 2020 12:28

In die zin dat oudere versies op een gegeven moment niet langer ondersteund gaan worden. Niet dat de upgrade door je strot geduwd wordt.

laptopleon @MadEgg • 16 november 2020 13:40

Voor alle duidelijkheid: Dat is altijd al zo geweest. Apple ondersteunt een x aantal jaar een OS en daarna niet meer. Dit is eerder de standaard bij software dan abnormaal.

Als je nu een Mac uit pakweg 2000 aan zet, kun je daar nog gewoon op werken, aangenomen dat de hardware nog in goede staat is.

Alleen bepaalde software werkt soms niet meer, omdat die bijvoorbeeld leunt op standaarden die websites al jaren niet meer gebruiken.

MadEgg

Besturingssystemen

@laptopleon • 16 november 2020 13:50

Ja, dat ontken ik ook niet. Punt is wel dat ik nu prima vooruit kan met Catalina maar waarschijnlijk over een aantal jaar steeds minder. Of nieuwe versies van software gaan Big Sur vereisen. Dus de keuze wordt steeds lastiger.

GertMenkel

Besturingssystemen

@MadEgg • 16 november 2020 11:37

Ter uitbreiding van het firewallprobleem: het is onderzoekers al gelukt om de systeemuitzondering te misbruiken om "malware" een payload te laten sturen buiten de firewall om. Tot Apple daar een oplossing voor heeft, is je firewall op Big Sur dus niet heel veel waard tegen malware.

laptopleon @GertMenkel • 16 november 2020 11:54

Daar gaat het niet om. Het 'apps signeren' principe is ook niet waterdicht. Vrijwel geen enkel idee op zich is waterdicht.

Waar het om gaat is, om Macs van gemiddelde gebruiker zo goed mogelijk te beschermen. Dat gaat niet met alleen dit of alleen dat, maar alles bij elkaar helpt het pakket aan maatregelen wel. Het blijft altijd een afweging tussen privacy en veiligheid, tussen snelheid en grondigheid, tussen kosten en baten.

Ik kan het daarom wel begrijpen, maar het zou beter zijn als Apple hier opener over is en de gebruiker wat meer opties geeft om zaken zelf te bepalen.

GertMenkel

Besturingssystemen

@laptopleon • 16 november 2020 12:05

Het comment waar ik op reageerde sprak niet over de signatures van apps, maar over de bypass die Apple aan netwerksoftware als Little Snitch heeft toegevoegd waardoor firewalls geen systeemonderdelen meer kunnen tegenhouden.

Dezelfde mate van bescherming had prima kunnen plaatsvinden door delta's van signature blacklists te verspreiden via een algemeen updatesysteem. Ik ben niet tegen het idee (als ik het zoals SIP zelf uit zou kunnen zetten, tenminste) maar de implementatie is gewoon ruk. Sterker nog, ik had eigenlijk verwacht dat de typische, theoretische "Apple ZOU IP's kunnen loggen" hier van toepassing zou zijn, maar blijkbaar loggen ze daadwerkelijk IP's op hun server, wat ik echt uit den boze vind.

Ik hoop dat ze het systeem opnieuw inrichten om niet op deze manier afhankelijk van hun servers te zijn. Dit is niet alleen een privacyprobleem, het is ook nog eens een risico als eindgebruiker omdat een DDOS tegen Apple nu ieder bedrijf dat op Macs draait tijdelijk lam kan leggen totdat het IT-team erachter komt wat er gaande is. Dat het door een foutje down was kan gebeuren, maar het legt wel een risico bloot.

De privacy-impact van een systeem dat fingerprinting op zo'n niveau toestaat vind ik sowieso abnormaal hoog, helemaal voor een bedrijf dat continu pretendeert je privacy te beschermen. Dit gedrag had ik van Microsoft of Google verwacht, niet van Apple.

Stromboli 16 november 2020 10:44

OK, op zich een goed begin, maar natuurlijk al schandalig dat dit überhaupt gebeurde.

En wordt deze "app check" of "telemetry" (ik ben als gebruiker eigenlijk geneigd om het gewoon spyware te noemen) nu ook uit Catalina en eerdere macOS versies gehaald?

Steenvoorde @Stromboli • 16 november 2020 10:51

Een app check is wel van deze tijd, alleen had ik gehoopt dat ze dit een stuk zorgvuldiger hadden gedaan. Zo ver ik dit begrijp in dit artikel staat die check niet opeens uit, alleen gaan ze in de toekomst wel beter om met de data die ze hiermee vergaren. En dat geldt dan ook voor de voorgaande versies omdat het niet het OS betreft maar hoe ze bij Apple met de data omgaan.

Stromboli @Steenvoorde • 16 november 2020 10:55

Wat bedoel je met een app check is wel van deze tijd? Waarom moet Apple registreren welke apps ik allemaal draai en wanneer?

En helemaal om dit default te doen, zonder het eerst expliciet te vragen. Ik vind dat juist absoluut niet van deze tijd, nu er steeds meer aandacht komt voor privacy.

Steenvoorde @Stromboli • 16 november 2020 11:11

Ik heb het niet over het registreren van persoonlijke gegevens, maar over de checks die ze doen als je een app wilt opstarten. Hiermee kunnen ze checken of een app wel gesigned is door Apple, of een app is aangepast door malware en mochten er beveiligings issues zijn met een eerder goedgekeurde app kunnen ze dat on the fly intrekken. Vanuit het oogpunt van beveiliging is hier zeker wel wat voor te zeggen.

Je bent er wel mee akkoord gegaan bij het installeren van MacOS. hoewel dat ook een beetje flauw is om te zeggen natuurlijk, want niemand leest die voorwaarden. Ik zelf was wel op de hoogte dat Apple apps valideert, maar ik wist natuurlijk niet wat er in de achtergrond met die data gebeurde. Dus ik ben het met je eens dat Apple verkeerd omgaat met die data, maar de validatie van apps an sich kan ik wel begrijpen. Windows 10 doet dit trouwens net zo goed.

GertMenkel

Besturingssystemen

@Steenvoorde • 16 november 2020 11:32

App signatures controleren en intrekken kan natuurlijk ook gewoon offline. Periodiek (iedere dag? ieder uur?) een lijst van geblackliste signatures ophalen (zoveel zijn het er toch niet) en je hebt privacyveilig dezelfde apparaatcontrole/veiligheid. In de cybersecurity spreekt men van het CIA framework om risico's te indexeren (confidentiality, integrity, availability) en een simpele storing bij een server heeft macs over de hele wereld ge-DOSt, een flinke schending van de availability die bij ieder stuk beveiliging zou moeten meetellen. Als dit is hoe Apple hun beveiliging instelt, heb ik weinig vertrouwen in hun oordelen over applicaties.

Tegen signature checks (die je uit kunt zetten) heb ik op zich niets, maar waarom alles tegenwoordig online moet is mij een raadsel.

Dat Windows het ook doet is kwalijk zat op zich, maar Apple adverteert expliciet dat hun producten betere privacy zouden bieden dan de concurrent. Zo'n systeem trekt die belofte behoorlijk in twijfel, omdat er maar weinig is aan een OS dat ik kan bedenken dat überhaupt je privacy zou moeten kunnen schaden.

SwaggyEggs @GertMenkel • 16 november 2020 12:47

Offline lijkt me makkelijker te kraken, al heb ik er geen verstand van.

skatebiker @SwaggyEggs • 16 november 2020 12:55

Juist niet, want offline kunnen hackers er moeilijker bij als je je computer goed beveiligd hebt.

GertMenkel

Besturingssystemen

@SwaggyEggs • 16 november 2020 20:16

Offline kan gestopt worden met genoeg systeemtoegang (root + sandbox escape en dat soort dingen) maar op het moment dat je daartoe in staat bent, kun je het onlinegedeelte ook al omzeilen.

Je hebt minder privileges nodig om de WiFi tijdelijk te disconnecten voor je je payload uitvoert dan dat je nodig hebt om het beveiligingsbeheer van Apple te omzeilen. Ik denk niet dat een signature check daartegen kan beschermen.

batjes

Besturingssystemen

@Stromboli • 16 november 2020 11:16

Windows doet dit ook al sinds Windows 7. Al voert Windows deze check alleen uit via SmartScreen als de applicatie geen geldig certificaat heeft. Als het een geldig Windows applicatie certificaat heeft, dan vertrouwt Windows daar op.

Maar bij onbekende applicaties stuurt Smartscreen ook een ID/hash van de app naar Microsoft toe en houd het tegen een database om te kijken of de app vaker gebruikt is en er niet gemeld is dat deze app kwaadaardige code kan bevatten.

Dit kun je uitschakelen (bij mij staat het uit maar ik weet even niet zeker of dit standaard is voor win32 apps of niet). Even zoeken naar smartscreen in je start menu.

laptopleon @Stromboli • 16 november 2020 11:41

Als Macs massaal het slachtoffer zouden worden van malware, kijkt iedereen naar Apple. Sterker nog, Apple heeft ook een inspanningsverplichting om gebruikers te beschermen. Stel jij werkt daar als chef OS-bescherming. Hoe zou je dat dan anders doen? Lokale lijsten met toegestane apps zijn veel kwetsbaarder.

Applicaties signeren via Apple-servers en die certificaten intrekken zodra er toch malware – of een ander probleem – toch ergens in blijkt te zitten kan veel ellende voorkomen. Bij de iOS app stores is dit middel meer dan eens ingezet.

En wie zegt dat Apple registreert wie welke app draait? Het signeren / certificaat intrekken is een prima methode. Alles heeft een keerzijde maar de risico's zonder zijn groter.

skaars 16 november 2020 10:47

Lang geleden dat ik zo'n groot Privacy wtf-momentje had toen ik het artikel van Jeffrey Paul las. Link staat in het artikel en is een aanrader om te lezen. Dit soort praktijken verwacht je niet van Apple, maar schijn bedriegt.

apt @skaars • 16 november 2020 11:03

Precies ik had dat gisteren ook!
Misschien naïef: maar ik was echt teleurgesteld in Apple, gezien het feit dat ze zeggen privacy hoog in het vaandel te hebben.

Ik heb nogmaals weer zitten te overwegen over te stappen op een Linux versie, maar ik ben heel bang dat mijn productiviteit eronder gaat leiden, vooral door lastiger samen te werken met collega's.

In ieder geval installeer ik het niet tot dit voor elkaar is.

monojack @skaars • 16 november 2020 11:08

Echt had je een wtf momentje? Ik ben gestopt met lezen toen hij schreef dat het bekend is dat Apple een PRISM deal heeft. Dat is niet bekend. Of ze een deal hebben dat kan Jeffrey Paul niet weten. Veel speculatie die zoals te verwachten was uiteindelijk op niet veel zoveel gebaseerd is.

8088 @monojack • 16 november 2020 12:51

Ik ben gestopt met lezen toen hij schreef dat het bekend is dat Apple een PRISM deal heeft. Dat is niet bekend.

Kennelijk wil je er niet bekend mee zijn. Jeffrey Paul plaatste zelfs een link naar het Wikipedia-artikel over PRISM voor degenen die er niet bekend mee waren. Het is namelijk wel bekend. Bekend als in wereldkundig gemaakt. Maar niet bekend door Apple.

The National Security Agency has obtained direct access to the systems of Google, Facebook, Apple and other US internet giants, according to a top secret document obtained by the Guardian.

The Guardian has verified the authenticity of the document

An Apple spokesman said it had "never heard" of Prism

eric.1

@skaars • 16 november 2020 12:08

Mwa, hij negeert wel heel toevallig bepaalde punten, o.a. dat dit lang niet bij iedere launch gebeurt. Daarnaast is het privacyprobleem (volgens hem) dat je ISP en Akamai je verkeer kan inzien en dat de Amerikaanse Defensie onbeperkt data kan opvragen.

1: je ISP kan idd getapt worden. Real-time verkeer met een bevel.
2: Je zal een CDN wel moeten vertrouwen, ze behandelen wel meer gevoelige data.
3. Tegen de tijd dat het bij Apple gearriveerd is, dan zou het toch al niet meer versleuteld zijn op een manier dat Apple het niet kan lezen. Anders kan Apple het niet gebruiken als beveiligingsfunctie

, dus idd de inlichtingendiensten kunnen deze data opvragen, een heel ander probleem dan punt 1 en 2. Een zinloze en puur een sfeer-makende toevoeging.

apt @eric.1 • 16 november 2020 12:12

Maar toch: waarom wordt de informatie niet versleuteld naar apple gestuurd?

oltk 16 november 2020 10:59

Ik stelde meteen de vraag in de ervaringen topic over Big Sur of dit normaal was, en kreeg reacties als "ja natuurlijk gebruiken ze een dergelijke server, wat had je dan verwacht". Het nieuwe normaal bij veel apple users die apple praktijken als zoete koek slikken helaas.

De firewall blokkeert het niet. En ik ben erachter gekomen dat apple waarschijnlijk een eigen link naar een DNS server heeft gemaakt (in systeemvoorkeuren / netwerk / advanced / dns). Deze link is niet zo te verwijderen. Wel met commandline gegoochel. Ik heb vervolgens ocsp.apple.com én gateway.fe.apple-dns.net geblokkeerd in Pihole. Beide servers staan nu hoog in de top blocked domains.

Hopelijk heb ik me nu losgemaakt van dat deel van de apple bubble

[Reactie gewijzigd door oltk op 24 juli 2024 17:53]

GertMenkel

Besturingssystemen

@oltk • 16 november 2020 11:36

De firewall-API in Big Sur heeft een aanpassing gekregenwwaardoor systeemservices deze kunnen omzeilen. Je kunt met een firewall op je apparaat (die niet hele vage dingen doet om de kernel te compromitteren) de verbinding dus niet tegenhouden.

Pihole gebruiken of het domein dmv je hosts file naar 0.0.0.0 laten verwijzen zorgt ervoor dat het systeem de checks negeert, alsof er geen internet voor nodig is. Je hoeft dus geen speciale DNS-server te draaien, je hosts file aanpassen is ook voldoende. Als je meerdere apparaten hebt, is je DNS aanpassen natuurlijk wel weer sneller en makkelijker.

oltk @GertMenkel • 16 november 2020 12:14

Ik had ergens gelezen dat de hosts file óók genegeerd wordt. Maar dat kan ik mis hebben...

Sircuri @oltk • 16 november 2020 11:12

Maak je daarmee MacOS niet kreupel? Oftewel, werkt alles dan nog?

Ik draai ook Pihole en wil zeker weten dat mijn macbook nog wel correct blijft functioneren en dus nog de appstore kan benaderen en apps kan starten.

EraYaN @Sircuri • 16 november 2020 11:43

Hooguit is je app launch time trager, en als devs zich misdragen en hun certificaat ingetrokken wordt, kun jij de apps nog gewoon starten. En dan is het maar de vraag of dat een goed idee is. (Ingetrokken om business redenen of voor malware)

laptopleon @Sircuri • 16 november 2020 11:46

Wat ik lees is dat het systeem zo is bedacht, dat bij geen verbinding met de server van Apple, de applicatie toch start.

Vorige week reageerde de servers van Apple wel, maar uitzonderlijk traag. Daardoor werd macOS bij veel gebruikers ook traag, omdat het systeem dan blijkbaar gaat zitten wachten op reacties.

oltk @Sircuri • 16 november 2020 12:12

Alles werkt nog zover ik weet.
Ik loop nu wel meer risico's dat een app malware kan bevatten, en dat dit niet meer geblockt wordt door OCSP. Maar goed, ik probeer maar zoveel obscure apps te vermijden.

Op dit item kan niet meer gereageerd worden.

Apple voert wijzigingen door na privacykritiek op appcheck door macOS Big Sur

Lees meer

Reacties (135)

Sorteer op:

Weergave: