Il primo giorno nel quale è stato ufficialmente rilasciato al pubblico macOS Big Sur, ci sono stati problemi sui server Apple che hanno impedito a vari utenti di scaricare il nuovo sistema operativo per Mac. La stessa sera, alcuni utenti di macOS 10.15.x Catalina hanno notato per diversi minuti l’impossibilità di avviare alcune applicazioni e lo sviluppatore Jeff Johnson è stato uno dei primi a segnalare un problema con il server OCSP (Online Certificate Status Protocol) di Apple, un server che permette di verificare la validità di certificati di sicurezza legati alle app.
Jeffrey Paul, un ricercatore specializzato in sicurezza, ha pubblicato un post intitolato “Il vostro computer non è vostro” sul suo blog, paventando preoccupazioni in merito alla privacy e alla sicurezza, per via del fatto che i Mac “chiamano casa” collegandosi con i server OCSP. Per farla breve, secondo Jeffrey Paul il traffico di rete legato ai server OCSP non è cifrato, e provider ed entità militare che in qualche modo possono allacciarsi alla rete, potrebberero potenzialmente essere in grado di capire le applicazioni che avviamo, quando lo facciamo, da dove lo facciamo.
Apple ha risposto alla questione sollevata dall’esperto di sicurezza aggiornando la pagina web di supporto “Aprire in sicurezza le app su Mac” che offre dettagli sulla tecnologia chiamata Gatekeeper, pensata per garantire che sul Mac vengano eseguiti solo software affidabili.
“macOS è progettato per tenere al sicuro i dati e gli utenti nel rispetto della loro privacy”, spiega Apple nel documento aggiornato. “Il Gatekeeper effettua controlli online per verificare se un’app contiene malware noto e se la firma del certificato sia revocata. Non abbiamo mai combinato dati da queste verifiche per ottenere informazioni sull’utente Apple dai loro dispositivi. Non usiamo i dati di queste verifiche per comprendere quello che gli utenti avviano o eseguono singolarmente sui loro dispositivi”.
Apple spiega ancora che i meccanismi di notarizzazione verificano se l’app contiene malware noto usando una connessione cifrata che è resiliente a problemi sui server. “Queste verifiche di controllo non hanno mai incluso l’Apple ID o l’identità dell’utente o informazioni sui loro dispositivi”. “Per proteggere ulteriormente la privacy abbiamo smesso di tenere i log degli indirizzi IP associati ai controlli sui certificati dei Developer ID e faremo in modo che qualsiasi indirizzo IP catalogato venga rimosso dai nostri log”.
Apple spiega ancora che nel corso del prossimo anno saranno introdotti cambiamenti agli strumenti di sicurezza di sistema con: un nuovo protocollo per i certificati associati ai Developer ID, protezioni maggiori in caso di indisponibilità dei server per le verifiche dei certificati, nuove Preferenze specifiche per consentire agli utenti di disattivare tali protezioni di sicurezza.
A questo indirizzo trovate un nostro articolo con la spiegazione dei vari meccanismi di sicurezza integrati in macOS.
