吳明宜上周 macOS Big Sur 出師不利,蘋果驗證應用程式安全的作法引發軒然大波。蘋果一台用於驗證第三方應用程式的伺服器忽然變得很慢,用戶質疑是不是偷偷蒐集用戶 Mac App 太多資訊所致。而蘋果也被迫出來面臨。
本文目錄
Gatekeeper 服務變慢是因為太忙?
蘋果昨天透過技術支援網頁宣佈數項新政策,於《在 Mac 電腦上安全開啟 App》中加入《隱私防護》章節。蘋果說明,名為 Gatekeeper 的服務是負責執行線上檢查,以驗證 App 是否包含已知惡意程式,以及開發商是否被取消了簽章用的憑證,蘋果隨後說明它蒐集了哪些資料,哪些不蒐集,以及明年起將實施的新政策。
用戶批評的是名為線上憑證狀態協定 (online certificate status protocol service, OCSP) 的驗證過程。這項伺服器功能是檢查 App 開發商的憑證是否有效,通過檢查的 App 在被允許在 Mac 上啟動。上周這台伺服器忽然變得很慢,導致許多升級 MacOS Big Sur 的用戶無法啟動 App,並遭到一些專家的懷疑。
蘋果蒐集應用活動記錄卻沒有加密傳輸?
德國 IT 專家 Jeffrey Paul 在其部落格文章《你的電腦不是你的電腦》(Your Computer Isn’t Yours) 中宣稱,這表示蘋果蒐集了用戶跑的每一款程式,包括 IP 位址,然而這些都是在未加密的 HTTP 連線傳送。結果就是任何跑最新版 MacOS 的 Mac 電腦都被蘋果蒐集了活動紀錄。雖然有另一位 IT 使用者分析傳送到 OCSP 伺服器的資料認為,應該只能辨識出開發商的身份,而不是 App 。不過如果許多開發商只推出一款 App,則很容易推測出是哪款 App 。
此推論引起嘩然,也迫使蘋果更新網頁澄清。蘋果說它在驗證軟體安全性時並不會蒐集用戶的 Apple ID 或裝置 ID 、型號。蘋果也說早已經停止蒐集和 Developer ID 憑證檢查相關的 IP 位址。「我們從未整合這些檢查資料和蘋果用戶或其裝置的資訊。」此外蘋果也宣稱並未以這些檢查資料來辨識個別使用者。
不過為了平息使用者的疑慮,蘋果也宣佈未來將調整驗證作法。明年起蘋果將在 Developer ID 驗證檢查時加入新的加密協定,並因應可能的伺服器當機狀況增加防護,例如防止像上周已停止的 App 還可以開啟。最後,蘋果也將加入使用者選項,允許他們完全退出這些防護措施,以平息像 Paul 這些用戶的不安。
來源:The Verge