Nova atualização do Mac não deixa espaço para os usuários escaparem da coleta de dados

• A atualização mais recente da Apple, o Big Sur, torna um recurso que registra a atividade do dispositivo para aplicativos offline (e online) praticamente impossível de ser contornado por soluções de Política de Privacidade .
• O monitoramento é mais um exemplo das escolhas de design da Apple que comprometem a privacidade, apesar dos esforços da empresa para se apresentar como uma aliada da Política de Privacidade .
• VPNs e outros firewalls não podem contornar o recurso.
• Pesquisadores de segurança sugerem que usuários que se preocupam com sua Política de Privacidade digital explorem outras alternativas de código aberto.

Em 12 de novembro, usuários de Mac reclamaram que seus computadores estavam lentos. Essa lentidão coincidiu com o lançamento deGrande Sur, a mais recente atualização do Mac da Apple.

Após o lançamento da atualização, um erro técnico interrompeu os servidores que a Apple usa para solicitações OCSP, os pacotes de dados que verificam o certificado SSL de um computador quando ele acessa aplicativos online.Os dispositivos da Apple estavam desligando porque essas solicitações OCSP T estavam chegando aos servidores da Apple.

À medida que alguns usuários olhavam mais de perto, ficou bem claro por que os dispositivos falhavam quando os servidores OCSP falhavam: toda vez que um usuário abre um aplicativo (mesmo ONE), essa ação é marcada e rastreada pelos servidores OCSP da Apple.

Esse recurso foi introduzido na atualização Catalina da Apple, mas certas ferramentas (como Little Snitch) podiam ser usadas para ignorá-lo. Agora, com o Big Sur, não há uma maneira prática para usuários comuns de Mac frustrarem o recurso.

Maçã se autopromoveucomo empurrarPolítica de Privacidade como COREda sua missão, talvez mais publicamente ao rejeitar as exigências da aplicação da lei paradesbloquear um dos iPhones do atirador de San Bernardino, Califórnia, após o ataque de dezembro de 2015.

Mas essas novas revelações demonstram algumas das falhas inerentes à coleta centralizada de dados – você tem que confiar que a Apple não compartilhará essas informações (ou confiar que eles não serão coagidos a revelá-las a uma agência governamental). Nesse caso, porém, o siloing de dados da Apple por meio do Big Sur pode nem ser o problema principal porque essas solicitações OCSP são transmitidas sem criptografia, o que significa que o conteúdo pode ser lido por qualquer parte de vigilância que os intercepte.

Portanto, se os usuários de Mac quiserem sair da mira da Apple, eles precisarão explorar alternativas.

Atualização do Mac permite registro de atividades offline

“Nas versões modernas do macOS, você simplesmente T consegue ligar o computador, iniciar um editor de texto ou leitor de e-books e escrever ou ler sem que um registro de sua atividade seja transmitido e armazenado”, escreve o hacker e pesquisador de segurança Jeffrey Paul em um postagem de blog.

Paul disse ao CoinDesk em um e-mail que T acha que "a Apple tenha más intenções aqui", mas que seu objetivo é monitorar malware e outros softwares ilícitos em seus dispositivos.

O problema, porém, é que essas solicitações OCSP não são criptografadas e, portanto, “vulneráveis ao monitoramento passivo”. Isso deixa os dados abertos para coleta e análise nas mãos de “organizações de monitoramento passivo em larga escala”, como a Agência de Segurança Nacional dos EUA (NSA).

“Essa é, obviamente, uma prática terrível e, apesar de ser o padrão da indústria, a Apple deveria saber melhor, pois eles são especialistas em criptografia (que administram sua própria autoridade de certificação e usam regularmente ferramentas criptográficas relativamente avançadas, como certificados de cliente e fixação de certificados)”, escreveu Paul por e-mail.

Telemetria é um processo de diagnóstico pelo qual os servidores rastreiam como um dispositivo é usado. Os sistemas da Apple agora transmitem uma "telemetria inadvertida" aberta que qualquer entidade conectada aos canais de comunicação da internet pode acessar, explicou Paul.

“O risco real de Política de Privacidade aqui não é que a Apple possa estar coletando esses dados. Provavelmente não, pois acredito que essa é uma tentativa da Apple de impedir que malware seja capaz de executar em sua plataforma. O problema é que ele serve como telemetria *inadvertida* para qualquer um que esteja escutando na rede, o que, nos Estados Unidos, é todo grande ISP e o exército nacional”, ele continuou.

Este tipo de preocupações levou a argumentos contraservidores centralizados para rastreamento de contatosna União Europeia. Eles também encorajaram recentementeempurra para mixnets, que misturam tráfego de rede especificamente para evitar observação passiva de metadados.

Os dispositivos da Apple sempre foram uma espécie de jardim murado. Aplicativos e softwares de editores não verificados, por exemplo, devem ser aprovados manualmente pelos usuários. O objetivo ostensivo de tais controles é proteger o usuário, mas comoCory Doutorow recentemente enfatizado ao CoinDesk por e-mail, esses controles podem anular a agência em certos cenários (por exemplo, quando a Apple removeu milhares de aplicativosda sua loja de aplicativos chinesa).

“Acho que este é um ótimo exemplo do que Bruce Schneier chama de "segurança feudal", Doctorow disse ao CoinDesk, comentando sobre o recurso de registro de atividades. “A ideia de que nossos sistemas não nos dão mais o poder de nos proteger, mas exigem que entreguemos nosso destino a um dos grandes senhores da guerra tecnológica da era (Facebook, Google, Apple, Msft, ETC), que nos protegerá... de todos, exceto [T] mesmos.”

Soluções de Política de Privacidade de dados

Para qualquer usuário de Mac que espera escapar da vigilância, as soluções terão que vir de fora do locus de influência da Apple.

Antes da atualização do Big Sur para Mac, VPNs ou firewalls como o Little Snitch teriam impedido que seu computador vazasse informações. Mas o Big Sur supera isso, disse Valdas Petrulis, cofundador e engenheiro de software líder na Mysterium Network, um protocolo VPN descentralizado.

“O MacOS Big Sur (versão 11.0) permite que o tráfego ignore o tráfego normalregras de roteamento e firewall. O que significa simplesmente que o Little Snitch T poderá monitorar e bloquear isso, e nem uma VPN poderá ajudar ou esconder você. O MacOS agora simplesmente proibiu isso.”

Sean O’Brien, o principal pesquisador do Laboratório de Segurança Digital da ExpressVPN, disse que, em última análise, uma VPN não “impedirá a Apple de coletar esses dados, mas [ela] “pelo menos os protegeria de outros intermediários de rede enquanto eles viajam pela internet”.

Há uma maneira de desabilitar o recurso, embora Paul tenha dito que apenas especialistas em MacOS devem tentar isso. A Apple muda quais serviços do sistema você pode desabilitar a cada atualização, disse Paul, então isso pode ser alterado no futuro.

“Na verdade, a coisa número 1 que os consumidores podem fazer para proteger sua Política de Privacidade ao usar dispositivos Apple é *nunca* usar o iCloud e não usar o iMessage”, continuou Paul. Dados do iCloud não está criptografado, disse ele, permitindo que “o FBI ou os militares dos EUA leiam praticamente o histórico completo do iMessage de todos sem nunca tocar no dispositivo”.

Alternativas?

A única maneira de escapar do panóptico da Apple, segundo Paul? “Software de código aberto que T espia você.” Isso costumava significar ferramentas como Little Snitch, Tor e VPNs, mas agora que a Apple tem um controle mais rígido sobre a Política de Privacidade pessoal, aqueles seriamente preocupados com sua Política de Privacidade só podem mudar de fornecedores de hardware e software.

Talvez como prova de que os usuários estão fazendo uma mudança, a CMO da Mysterium, Sharmini Ravindran, disse que o serviço teve "8 a 10 vezes mais interesse" em seu aplicativo para Windows em comparação com sua versão para Mac.

Claro, A Microsoft também não é uma santa em Política de Privacidade, o que significa que o software Linux livre e de código aberto, há muito tempo a escolha da maioria dos defensores da Política de Privacidade , pode ser a aposta mais segura.

Mas isso só vai funcionar se o seu usuário típico de Mac se importar o suficiente com o recurso de vazamento de privacidade. E se ele ou ela se importar, há também a questão de saber o suficiente sobre computadores para inicializar e manter o Linux. Um dos principais pontos de venda da Apple é que ela é amigável até mesmo para os indivíduos mais avessos à tecnologia, o que pode ser atraente, já que a tecnologia de Política de Privacidade às vezes é cheia de atrito para pessoas que estão acostumadas a fazer login em tudo usando o Face ID.

Por outro lado, a Apple também temfoi elogiado como uma empresa preocupada com a privacidade empresa, e percepção públicaestá sempre mudando.

“A Apple não está apenas expondo seus clientes ao risco dos próprios executivos e decisões corporativas da empresa, mas também está criando um risco moral para os governos, convidando-os a coagir a Apple a (ab)usar essa facilidade para prejudicar – não ajudar – seus usuários”, disse Doctorow.