上周,许多Mac用户在打开应用程序时遇到了麻烦-这个问题似乎是由负责检查软件是否来自受信任来源的Apple安全协议引起的。这种放缓促使一些人批评苹果公司收集了太多有关用户活动的信息。该公司现在已做出回应,提出批评,并承诺将来将改变这些安全协议的工作方式。
Apple通过其支持页面宣布了这些更改,并在标题为“在Mac上安全地打开应用程序”的页面上增加了新的“隐私保护”部分(加拿大iPhone指出)。苹果公司说,一项称为Gatekeeper的服务“执行在线检查,以验证应用程序是否包含已知的恶意软件以及开发者的签名证书是否已被撤销。” 它进一步阐明了Apple当前如何使用这些数据,并概述了明年将要采用的新保护措施。
关于此验证过程的投诉集中于一种称为在线证书状态协议服务或OCSP的协议。此安全功能可在允许启动应用程序之前检查是否已吊销该应用程序的开发人员证书。中断导致对苹果的做法进行了审查,最值得注意的是安全研究人员杰弗里·保罗(Jeffrey Paul)。
保罗在标题为“您的计算机不是您的计算机”的博客文章中声称,此安全过程意味着Apple会通过未加密的连接收集Mac用户运行的每个程序的哈希值及其IP地址。保罗写道,最终结果是,使用现代版本的macOS的任何人都无法做到这一点,除非“ [他们的]活动日志被传输和存储。”
但是,并非所有人都同意保罗的分析。网络安全专业学生Jacopo Jannone在一篇博客文章中指出,发送到Apple OCSP服务器的数据包含可以识别应用程序开发人员的信息,但不能识别应用程序本身。但是,保罗认为,由于许多开发人员只发布一个应用程序,因此从有关其开发人员的信息中推断某人正在使用哪个应用程序并不难。
苹果在更新后的支持文档中明确指出,在验证软件时进行的安全检查不包括用户的Apple ID或设备标识。该公司还表示已停止记录与开发人员ID证书检查关联的IP地址。iPhone制造商写道:“我们从未将来自这些检查的数据与有关苹果用户或其设备的信息相结合。” “我们不会使用来自这些检查的数据来了解各个用户正在其设备上启动或运行的内容。”
但是,有关这些投诉的事情似乎确实已经在苹果公司注册了,因为该公司表示将在未来改变其处理这些支票的方式。该公司表示,在下一年中,它将推出一种用于开发人员ID证书检查的新加密协议,同时添加“针对服务器故障的强大保护措施”,即针对阻止上周打开应用程序的问题的保护措施。最后,用户还可以选择不使用这些安全保护措施,这一改变似乎旨在缓解Paul的抱怨。