有关苹果设备的OCSP事故

不知道使用苹果设备的葱油多吗?不知道发这个帖子会不会显得多余,相信很多葱油都有关注编程随想的博客,特别是那些特别注重隐私与匿名的葱油。另外之前有篇关于隐私保护提问,国安人员解答的帖子,里面也是比较推荐苹果设备的,个人觉得对安全要求高的葱油还是要多多注意一下的。

以下对部分博文搬运一下:

◇苹果 OCSP 事故——曝光重大的隐私丑闻

苹果服务器宕机,导致无数应用停止响应 @ Solidot
大批苹果用户在社交媒体上[u【警告:链接内容可能存在钓鱼网址,请勿打开】rl=https://news.ycombin ator.com/item?id=25074959]报告[/url],他们的应用程序失去响应或需要数分钟时间才能启动运行。受影响的服务还包括 Apple Pay、Messages 和 Apple TV 设备。
导致这一大规模故障的罪魁祸首是苹果验证应用可信的公证服务器 ocsp.apple.com。OCSP 代表 Online Certificate Status Protocol stapling,从 MacOS Catalina 起,苹果用户每次打开或执行一个程序,系统都会将其哈希值发送到该服务器(苹果知道你运行的任何程序),在获得回应前应用程序会保持冻结状态。如果苹果设备没有联网,那么系统将会认为你离线,允许程序执行。今天发生的问题是 ocsp.apple.com 能 ping 通但无回应,于是系统一直尝试验证然后超时。对这一问题苹果尚未发表声明。


苹果 OCSP 事故暴露出它的不道德 @ Solidot
11月中旬,苹果用户报告应用程序失去响应或需要数分钟时间才能启动运行。问题是苹果 OCSP(Online Certificate Status Protocol)服务器宕机导致的,此事暴露出苹果会收集用户在苹果系统启动的每一个应用程序的信息。苹果随后承诺停止记录用户 IP 地址,将确保所有任何收集的 IP 地址从日志里移除,明年将提供关闭的选项。
自由软件基金会对这起事故发表文章称,苹果的做法在道德上是不可接受的,认为无法确保苹果是否值得信任,是否能真正改进隐私保护,因为 OCSP 系统的基础是关于征服而不是安全。FSF 建议苹果用户转移到 GNU/Linux,因为选择自由而不是选择企业独裁主义是重新获得数字自主权控制自己的计算机的最重要一步。


Jeffrey Paul:Your Computer Isn't Yours
  编程随想注:
  上述这篇出自德国黑客 Jeffrey Paul(他同时也是苹果的老用户)。苹果的 OCSP 事故之后,此文在网上引起巨大反响,甚至引起了苹果官方的注意。
  他的博客同时还配发了上述文章在不同语言的翻译。考虑到大部分读者不熟悉洋文,俺转贴了中译文(如下)

你的电脑不属于你
你的电脑不属于你
事实就是这样,你注意到了吗?

当然,我指的是 Richard Stallman 在1997年预言的,并且 Cory Doctorow 也警告过我们的那个世界。

用现代的 macOS,即使你只是想简单地接通电源开机,启动一个文本编辑器或者电子书阅读器,然后随便读读写写,也没法避免你的行动被记录被存储。
在当前版本的 macOS 中,当你运行每一个程序时,系统都会给苹果公司发送一个哈系值(hash,唯一标识符)。很多人并没有意识到这一点,因为它是无声无息的,看不见的,而且当你离线时它马上就会悄悄地失效。不过今天的服务器速度是真的很慢,以至于它没办法走那条快速失效的路径,导致大家如果连着网就无法启动应用。

因为这件事是联网的,服务器自然就会看到你的 IP 地址,并且知道请求是什么时间进来的。有了 IP 地址,服务器就可以在城市级或者 ISP 级粗略地得到你的地理定位,而且可以做个这样的数据表:

日期,时间,计算机,ISP,城市,州,应用哈系值

当然,苹果(或其他任何人)可以计算这些常见程序的哈希值:App Store、Creative Cloud、Tor 浏览器、破解或逆向工程用的工具等一切程序。
这意味着,苹果知道你什么时候在家,什么时候在工作。也知道你在哪里打开什么应用,以及打开的频率。他们知道你在朋友家的 Wi-Fi 上什么时候打开了 Premiere,也知道你在去别的城市旅行途中的什么时候在某个酒店里打开了 Tor 浏览器。

“谁在乎呢?”我听到你在问。
好吧,这不仅仅是苹果公司。这些信息不会只留在他们那里。
  1. 这些 OCSP 请求是在未加密的情况下传输的。每个能监控到网络流量的人都能看到这些信息,包括你的 ISP 和任何窃听他们电缆的人。
  2. 这些请求会进入一家叫做 Akamai 的公司运营的第三方 CDN。
  3. 自2012年10月以来,苹果公司就一直是美国军事情报界的棱镜计划的合作伙伴。该计划允许美国联邦警察和军方在没有搜查令的情况下,只要想就可以不受限制地获取这些数据。2019年上半年,他们就这样做了超过18000次,在2019年下半年又做了17500多次。


这些数据相当于一个关于你的生活和习惯的巨大数据库,并让拥有所有数据的人能够识别你的运动和活动模式。对于一些人来说,这甚至会对他们的身体造成危险。
......
(注:全文很长,俺只摘录到这里。此文末尾有一个 FAQ 问答环节。如果你是苹果用户,建议去看看这个 FAQ)


  编程随想注:
  苹果公司一直宣称“很注重用户隐私”。这样的鬼话,很多人竟然信了。希望这次的“OCSP 事故”能够引起某些人的反思。
  此次“OCSP 事故”,有一个很多人吐槽的点——为啥 OCSP 的传输是【明文】???以苹果公司的研发实力,怎么会犯如此低级的错误?很多人不得不怀疑,这是有意的设计缺陷。如此一来,政府、ISP、CDN 都可以很容易监控苹果用户(知道他们在什么时间、什么地点、运行了哪种软件)。
  此次事故之后,Apple 的官网宣布说:为了进一步保护隐私,我们已停止记录与开发者 ID 证书检查相关联的 IP 地址,并将确保从日志中移除所有收集到的 IP 地址。
  这样的官方声明是【缺乏说服力】的。因为 Apple 的用户难以验证该公司所说的“不再记录 IP 地址”到底有没有落实。俺个人猜测:这只不过是敷衍用户的说辞,并让苹果用户获得某种虚假的安全感。

全文链接:编程随想之 近期安全动态和点评(2020年4季度)
1
分享 2021-01-13

2 个评论

这时候,就体现出了【开源】的重要性,每个人都可以审计代码,分析程序的影响、行为。
编程随想认为,移动设备就不应该用来做高危工作。
常用移动设备安全性理论而言,原生安卓>ios外行>ios国行>安卓国行
ios闭源,Android刷机以及加固又有门槛(而且如果是诸如华为的……还是算了)

(还是把想买苹果家任何智能产品的念头消了)
(绝对的安全,当然就是不用这些东西了,但脑内反共有什么意义?)
rts 黑名单
几个月前的旧闻了,不都是已经被讨论烂了的话题了吗。

我认为匿名和隐私是两个不同的维度。保护用户隐私并不是完全不搜集任何信息,因为那样也就没法提供服务了。比方说银行,应该只搜集完成交易所必需的最小信息,按照监管要求妥善处理和保存这些信息,不能过度搜集不必要的信息,然后用来搞数据分析、用户画像等等。这样就算是保护用户隐私了,主要通过立法、制度手段来实现。而匿名则是指用Tor隐藏身份,通过加密货币进行不可追溯的交易之类,现阶段匿名权尚并未得到普遍承认,主要通过技术手段来实现。

要发言请先登录注册

要发言请先登录注册