Ang Bagong Update sa Mac ay Hindi Nag-iiwan ng Puwang sa Mga User para Makatakas sa Pagkolekta ng Data

• Ang pinakabagong update ng Apple, ang Big Sur, ay gumagawa ng feature na nagla-log ng aktibidad ng device para sa offline (at online) na mga application na halos imposible para sa mga solusyon sa Privacy na ma-bypass.
• Ang pagsubaybay ay isa pang halimbawa ng mga pagpipilian sa disenyo na nakakompromiso sa privacy ng Apple, sa kabila ng mga pagsisikap ng kumpanya na ipakita ang sarili bilang isang kaalyado sa Privacy .
• Hindi maiiwasan ng mga VPN at iba pang firewall ang feature.
• Iminumungkahi ng mga mananaliksik sa seguridad na ang mga user na nagmamalasakit sa kanilang digital Privacy ay mag-explore ng iba pang open-source na alternatibo.

Noong Nob. 12, ang mga gumagamit ng Mac ay nagreklamo na ang kanilang mga computer ay kumikilos nang tamad. Ang katamaran na ito ay kasabay ng paglabas ng Big Sur, ang pinakabagong update sa Mac mula sa Apple.

Matapos mailabas ang update, naantala ng isang teknikal na error ang mga server na ginagamit ng Apple para sa mga kahilingan sa OCSP, ang mga packet ng data na nagbe-verify ng SSL certificate ng isang computer kapag nag-access ito ng mga online na application. Nagsasara ang mga Apple device dahil ang mga kahilingan sa OCSP na ito ay T nakakarating sa mga server ng Apple.

Habang pinagmamasdan nang malapitan ang ilang mga user, naging napakalinaw kung bakit nabigo ang mga device noong nabigo ang mga OCSP server: Sa tuwing magbubukas ang isang user ng isang application (kahit ONE offline ), ang pagkilos na iyon ay tina-tag at sinusubaybayan ng mga OCSP server ng Apple.

Ang tampok na ito ay ipinakilala sa pag-update ng Catalina ng Apple, ngunit ang ilang mga tool (tulad ng Little Snitch) ay maaaring gamitin upang i-bypass ito. Ngayon, sa Big Sur, walang praktikal na paraan para sa mga karaniwang gumagamit ng Mac na hadlangan ang tampok.

Apple ay touted sarili bilang pagtulak Privacy bilang CORE ng misyon nito, marahil sa karamihan sa publiko sa pamamagitan ng pagtanggi sa mga hinihingi ng pagpapatupad ng batas i-unlock ONE sa mga iPhone ng tagabaril ng San Bernardino, Calif., pagkatapos ng pag-atake noong Disyembre 2015.

Ngunit ang mga bagong paghahayag na ito ay nagpapakita ng ilan sa mga likas na kapintasan sa sentralisadong pagkolekta ng data - kailangan mong magtiwala sa Apple na huwag ibahagi ang impormasyong ito (o magtiwala sa kanila na hindi mapipilitang ibunyag ito sa isang ahensya ng gobyerno). Sa kasong ito, gayunpaman, ang pag-siloing ng data ng Apple sa pamamagitan ng Big Sur ay maaaring hindi maging pangunahing isyu dahil ang mga kahilingan sa OCSP na ito ay ipinapadala nang hindi naka-encrypt, ibig sabihin, ang mga nilalaman ay maaaring basahin ng anumang surveilling party na humarang sa kanila.

Kaya, kung gusto ng mga gumagamit ng Mac na lumabas sa ilalim ng mata ng Apple, kakailanganin nilang mag-explore ng mga alternatibo.

Ang pag-update ng Mac ay nagbibigay-daan sa offline na pag-log ng aktibidad

"Sa mga modernong bersyon ng macOS, T ka maaaring mag-on sa iyong computer, maglunsad ng text editor o eBook reader, at magsulat o magbasa nang walang log ng iyong aktibidad na ipinapadala at iniimbak," sumulat ang hacker at security researcher na si Jeffrey Paul sa isang post sa blog.

Sinabi ni Paul sa CoinDesk sa isang email na T niya iniisip na "May masamang hangarin ang Apple dito," ngunit ang layunin nito ay subaybayan ang malware at iba pang ipinagbabawal na software sa mga device nito.

Ang problema, gayunpaman, ay ang mga kahilingan sa OCSP na ito ay hindi naka-encrypt at kaya "mahina sa passive monitoring." Hinahayaan nitong bukas ang data sa pagkolekta at pag-parse sa mga kamay ng "malalakihang passive monitoring organization" gaya ng U.S. National Security Agency (NSA).

"Ito ay, siyempre, kahila-hilakbot na kasanayan, at sa kabila ng pagiging pamantayan sa industriya, dapat na mas alam ng Apple, dahil sila ay mga eksperto sa cryptography (na nagpapatakbo ng kanilang sariling awtoridad sa sertipiko at regular na gumagamit ng medyo advanced na mga tool sa cryptographic tulad ng mga sertipiko ng kliyente at pag-pin ng cert)," isinulat ni Paul sa email.

Ang Telemetry ay isang diagnostic na proseso kung saan sinusubaybayan ng mga server kung paano ginagamit ang isang device. Nag-broadcast na ngayon ang mga system ng Apple ng isang bukas, "hindi sinasadyang telemetry" na maaaring ma-access ng anumang entity na na-tap sa mga channel ng komunikasyon sa internet, ipinaliwanag ni Paul.

"Ang tunay na panganib sa Privacy dito ay hindi na maaaring kinokolekta ng Apple ang data na ito. Malamang na hindi sila, dahil naniniwala ako na ito ay isang pagtatangka ng Apple na pigilan ang malware na maipatupad sa kanilang platform. Ang problema ay nagsisilbi itong *hindi sinasadyang telemetry sa sinumang nakikinig sa wire, na, sa Estados Unidos, ay bawat pangunahing ISP at pambansang militar, "patuloy niya.

Ang mga ganitong uri ng alalahanin ay humantong sa mga argumento laban sa mga sentralisadong server para sa pagsubaybay sa contact sa European Union. Hinikayat din nila kamakailan tinutulak ang mga mixnet, na partikular na pinaghahalo ang trapiko ng network upang maiwasan ang passive metadata observation.

Ang mga device ng Apple ay palaging isang napapaderan na hardin ng mga uri. Ang mga application at software mula sa mga hindi na-verify na publisher, halimbawa, ay dapat na manual na aprubahan ng mga user. Ang tila layunin ng naturang mga kontrol ay upang protektahan ang gumagamit, ngunit bilang Cory Doctorow kamakailang idiniin sa CoinDesk sa pamamagitan ng email, maaaring i-override ng mga kontrol na ito ang ahensya sa ilang partikular na sitwasyon (halimbawa, kapag inalis ng Apple libu-libong apps mula sa Chinese app store nito).

"Sa tingin ko ito ay isang magandang halimbawa ng tinatawag ni Bruce Schneier na "pyudal na seguridad," sabi ni Doctorow sa CoinDesk, na nagkomento sa feature na pag-log ng aktibidad. "Ang ideya na ang aming mga system ay hindi na nagbibigay sa amin ng kapangyarihan upang protektahan ang aming sarili, ngunit sa halip ay nangangailangan sa amin na isuko ang aming kapalaran sa ONE sa mga dakilang techno-warlord ng edad (Facebook, Google, Apple, ETC] mula sa lahat ng tao maliban sa [T]).

Mga solusyon sa Privacy ng data

Para sa sinumang mga gumagamit ng Mac na umaasang makatakas sa pagsubaybay, ang mga solusyon ay kailangang magmumula sa labas ng locus of influence ng Apple.

Bago ang pag-update ng Big Sur Mac, pinipigilan ng mga VPN o firewall tulad ng Little Snitch ang iyong computer mula sa pagtagas ng impormasyon. Ngunit higit pa rito ang Big Sur, sabi ni Valdas Petrulis, co-founder at lead software engineer sa Mysterium Network, isang desentralisadong VPN protocol.

“Ang MacOS Big Sur (bersyon 11.0) ay nagbibigay-daan sa trapiko na mag-bypass sa karaniwan pagruruta at mga panuntunan sa firewall. Nangangahulugan lamang na T ito masusubaybayan at mai-block ni Little Snitch, at hindi rin matutulungan o maitatago ka ng isang VPN. Ipinagbawal na lang iyon ng MacOS."

Si Sean O'Brien, ang punong tagapagpananaliksik sa ExpressVPN's Digital Security Lab, ay nagsabi na sa huli ang isang VPN ay hindi "pipigilan ang Apple na makolekta ang data na ito, ngunit [ito]" ay "hindi bababa sa protektahan ito mula sa iba pang mga tagapamagitan ng network habang ito ay naglalakbay sa internet."

Mayroong isang paraan upang hindi paganahin ang tampok, kahit na sinabi ni Paul na ang mga eksperto sa MacOS lamang ang dapat subukan ito. Binabago ng Apple kung aling mga serbisyo ng system ang maaari mong i-disable sa bawat pag-update, sabi ni Paul, kaya maaaring mabago ito sa hinaharap.

"Gayunpaman, ang #1 bagay na maaaring gawin ng mga mamimili upang protektahan ang kanilang Privacy kapag gumagamit ng mga Apple device ay ang *hindi kailanman* gumamit ng iCloud, at hindi gumamit ng iMessage," patuloy ni Paul. data ng iCloud ay hindi naka-encrypt, sinabi niya, na nagpapahintulot sa "FBI o militar ng U.S. na basahin ang halos kumpletong kasaysayan ng iMessage ng lahat nang hindi nahawakan ang device."

Mga alternatibo?

Ang tanging paraan upang makatakas sa panopticon ng Apple, ayon kay Paul? "Open-source na software na T nang-espiya sa iyo." Ang ibig sabihin noon ay mga tool tulad ng Little Snitch, Tor at VPN, ngunit ngayong mas mahigpit na ang pagkakahawak ng Apple sa personal Privacy, ang mga seryosong nag-aalala tungkol sa kanilang Privacy ay maaari lamang baguhin ang mga provider ng hardware at software.

Marahil bilang testamento sa mga gumagamit na gumagawa ng pagbabago, sinabi ng Mysterium CMO Sharmini Ravindran na ang serbisyo ay nakaranas ng "8 hanggang 10 beses na mas maraming interes" sa Windows application nito kumpara sa bersyon ng Mac nito.

syempre, Ang Microsoft ay hindi rin santo ng Privacy, ibig sabihin ay ang libre at open-source na Linux software, na matagal nang pinipili ng karamihan sa mga tagapagtaguyod ng Privacy , ay maaaring ang pinakaligtas na taya.

Ngunit gagana lamang iyon kung ang iyong karaniwang gumagamit ng Mac ay may sapat na pag-aalaga tungkol sa tampok na pagtagas ng privacy. At kung siya ay nagmamalasakit, mayroon ding sapat na kaalaman tungkol sa mga computer upang mag-boot at mapanatili ang Linux. Ang ONE sa mga pangunahing punto ng pagbebenta ng Apple ay ang pagiging madaling gamitin nito para sa kahit na ang pinaka-mahilig sa teknolohiyang mga indibidwal, na maaaring maging kaakit-akit dahil sa teknolohiya ng Privacy ay kung minsan ay puno ng alitan para sa mga taong nakasanayan nang mag-log in sa lahat gamit ang Face ID.

At muli, mayroon din si Apple ay pinuri bilang isang privacy-conscious kumpanya, at pang-unawa ng publiko ay palaging nagbabago.

"Hindi lamang inilalantad ng Apple ang mga customer nito sa panganib mula sa sariling mga executive ng kumpanya at mga desisyon ng korporasyon, ngunit lumilikha din ito ng moral na panganib para sa mga pamahalaan, na nag-iimbita sa kanila na pilitin ang Apple na (ab) gamitin ang pasilidad na ito upang saktan - hindi tumulong - sa mga gumagamit nito," sabi ni Doctorow.