2020年11月13日、Mac向けOSのバージョン11.0となる「macOS Big Sur」の配信が開始されました。macOS Big SurはMac OS X以来の大型アップデートと位置づけられていましたが不具合が多数報告されており、デジタル証明書に関するプロトコル「Online Certificate Status Protocol(OCSP)」がプライバシーの議論を招いています。
Does Apple really log every app you run? A technical look – Jacopo Jannone - blog
https://ift.tt/3lwtowx
macOS Big Sur telling Apple what app you've opened isn't a security or privacy issue | AppleInsider
https://ift.tt/2IFZveF
OCSPは、アプリを起動する直前に開発者証明書が失効していないことを確認するプロトコルです。このOCSPは、Big Surのリリース時に発生した「Big SurだけでなくCatalinaやMojaveなどの他のバージョンのmacOSの動作の低速化を引き起こす」という問題の原因だとされたことから、にわかに注目が集まるという事態が生じました。
Mac向けの最新OS「macOS Big Sur」の公開でBig Sur以外のOSまで低速化する事態に - GIGAZINE
OCSPに対して注目が集まる中、「アプリケーションの起動のたびに、『どのアプリケーションを起動したか』などの情報がOCSPを介してAppleに送信されている」と主張が登場しました。この主張を行ったセキュリティ研究者のジェフリー・ポール氏は、OCSPはHTTPのデータ通信を平文で行っていることから、これらの情報は誰でも盗み見ることが可能である上、アメリカ国家安全保障局(NSA)が実施する大規模監視プログラム「PRISM」にAppleが2012年10月から関与していることから、「プライバシー上の問題がある」と言い立てました。
Jeffrey Paul: Your Computer Isn't Yours
https://ift.tt/36vBbUP
ポール氏の主張は大きな注目を集めましたが、複数のニュースメディアが「少なくともどのアプリケーションを起動したかの情報は送信されない」という反論を掲載しています。セキュリティエンジニアのJacopo Jannone氏は、実際にAppleに対して送信されるOCSPリクエストを取得するという実験を行うことで、送信されたOCSPリクエストの中に個人情報が含まれていないことを立証しています。実際にMacでFirefoxを起動すると送信されるX.509証明書をOpenSSLで抽出した情報が以下。
openssl x509 -inform der -in codesign0 -textCertificate: Data: Version: 3 (0x2) Serial Number: 488521955867797808 (0x6c794216c7aa930) Signature Algorithm: sha256WithRSAEncryption Issuer: CN=Developer ID Certification Authority, OU=Apple Certification Authority, O=Apple Inc., C=US Validity Not Before: May 8 19:08:58 2017 GMT Not After : May 9 19:08:58 2022 GMT Subject: UID=43AQ936H96, CN=Developer ID Application: Mozilla Corporation (43AQ936H96), OU=43AQ936H96, O=Mozilla Corporation, C=US ...
Firefoxと同じMozilla製の電子メールクライアントのThunderbirdを起動した際に送信される証明書から抽出された情報が以下。
codesign -d --extract-certificates /Applications/Thunderbird.appopenssl x509 -inform der -in codesign0 -textCertificate: Data: Version: 3 (0x2) Serial Number: 488521955867797808 (0x6c794216c7aa930) Signature Algorithm: sha256WithRSAEncryption Issuer: CN=Developer ID Certification Authority, OU=Apple Certification Authority, O=Apple Inc., C=US Validity Not Before: May 8 19:08:58 2017 GMT Not After : May 9 19:08:58 2022 GMT Subject: UID=43AQ936H96, CN=Developer ID Application: Mozilla Corporation (43AQ936H96), OU=43AQ936H96, O=Mozilla Corporation, C=US ...
これらの情報が完全に一致していることから、「どのアプリケーションを起動したか」といった情報は判別不可能だとわかります。Jannone氏は「macOSはあくまで開発者証明書に関する不透明な情報を送信するだけで、少なくとも起動されたアプリケーションについての情報は収集していない」と指摘。Apple系ニュースサイトのAppleInsiderも同様の指摘を行った上で、「Skypeの通話が使用する23399番ポートのように、アプリケーションごとに固有のポートを監視したほうが有意義」と述べています。
一方で、Big Surがさまざまな問題を抱えている点は事実。Big Surには「Apple製アプリの通信がファイヤウォールなどで制御されなくなる」という仕様が存在するため、この仕様を利用してファイヤウォールをすり抜けるマルウェアが登場するだろうと予想されています。
macOS Big SurからはApple製アプリの通信をファイアウォールで制御できないことが判明 - GIGAZINE
また、2013年~2014年製の13インチのMacBookProは、Big Surにアップデートすることでマシンが起動しなくなり「文鎮化」するという不具合も多数報告されています。
macOS Big Sur Update Bricking Some Older MacBook Pro Models - MacRumors
https://ift.tt/2IEG7i8
からの記事と詳細
https://ift.tt/3kES3gU
科学&テクノロジー
No comments:
Post a Comment