Iphonefocus

タグ: 門番

門番

  • Apple、Gatekeeper の OCSP の仕組みを明らかにし、ユーザーのプライバシーに関する疑問を解消

    先週の木曜日の午後、Apple はmacOS Big Sur をリリースしました。私たちの多くが楽しみにしていたリリースで、私たちは最初から急いでダウンロードしました。すでにダウンロードプロセスが始まっており、非常に遅く、完了までに数日かかることさえありました。しかしそれだけではなく、Apple のサーバーの障害により一部のアプリが正常に起動できなくなり、Gatekeeper のプライバシーが不十分であるという理論が立てられました。今回、同社はこれらの疑問を完全に明らかにし、Mac にとって不可欠な保護の現在および将来の状態についてのビジョンを提供します。

    ゲートキーパーとOCSP

    ゲートキーパー ロゴ Mac 512x324

    Gatekeeper について簡単にレビューしてみましょう。すべての Mac には、実行するアプリが安全であることをチェックするセキュリティ システムが搭載されています。この検証は、アプリに含まれる小さな証明書に基づいており、開発者がアプリを送信したときに Apple がアプリを検証し、すべてが正しいことを検証したことを「確認」します。これは公証または公証と呼ばれます。

    証明書が「肯定」している内容は非常に良好ですが、システムはそれがまだ有効であり、セキュリティ上の理由から取り消されていないことを確認する必要があるため、各アプリの実行時にシステムは OCSP (オンライン証明書) サーバーにステータス プロトコルを要求します。証明書のステータス。 Apple のサーバーがまだ有効であると応答した場合、アプリは何もせずに起動します。アプリに何らかの不正が発見されたためにこの証明書が失効したとサーバーが報告した場合、システムは実行をブロックし、Mac のセキュリティを維持するためにアプリを削除することを提案します。これは、安全でない可能性があるアプリの実行を防ぐセキュリティ システムです。 。

    これは私たちが長い間知っているシステムであり、Mac のセキュリティの非常に重要かつ重要な部分です。アプリの異常を発見してから OCSP サーバーがそれを反映するまでの応答時間は非常に短いため、Apple の能力は非常に低いです。安全でないアプリについて通知する能力は非常に高いです。これにより、アプリにセキュリティ上の欠陥が発見された後、そのアプリが実行され続けたり、私たちユーザーが最終的に状況に気づくのを待っているさらに多くのユーザーに影響を与えたりすることがなくなります。

    Big Sur、プライバシー、および暗号化されていない接続

    テイラー・ヴィック M5tzztfcofs アンスプラッシュ

    では、なぜ今このシステムについて話しているのでしょうか?ビッグサーより。 Big Sur の立ち上げ中、オペレーティング システムのダウンロード時間は膨大でした。私は個人的に、12GB のダウンロードに 7 時間または 8 時間かかるという兆候を確認しました。翌日のダウンロードは約7分間でした。しかし、それだけではありませんでした。起動中に、Mac でアプリを起動できない何らかのバグがありました。

    当初、何が起こっているのか理解できた人はほとんどいなかったため、Dock 内でアプリが飛び跳ねている間に数分待たずにアプリを実行できるようにするには、Mac をネットワークから切断するのが最善の選択肢であるということがすぐに Web 上で広まりました。サーバー構成エラーと別の CDN エラーがこの状況の原因であることがわかりました。

    金曜日、セキュリティ研究者のジェフリー・ポール氏は、後に「あまり正確ではない」ことが証明されたものの、ゲートキーパー・システムについて疑問を投げかける記事を発表した。この記事の中で、上で説明した OCSP システムのおかげで、Apple は私たちが実行したすべてのアプリとその実行時期を把握していたと説明しました。同氏はまた、同社が暗号化されていない接続を使用してクエリを送信していることを批判し、誰でもこれらの送信を「聞く」ことができると述べた。

    Appleの対応と今後の予定

    プライバシー

    本日、Apple は、Gatekeeper の今後の計画を明らかにするとともに、状況に応じて明確にしました。このサポート文書に反映されているように、 Apple は証明書の参照と当社を特定できるデータを関連付けたことはありません。同氏はまた、当社がどのようなアプリを実行しているかを知るために公証プロセスを利用したことはないと明言し、Apple IDやデバイスのIDはこれらのセキュリティチェックとはまったく関係がないと繰り返した。

    さらに、Apple はいくつかの変更を加え、発表しました。まず、非常に重要なことですが、同社は OCSP サーバーに接続するコンピュータの IP 収集を即時停止したと発表しました。さらに来年からは以下の3つの重要施策を実施する。

    • OCSP サーバーを使用したクエリ用の新しい暗号化システム
    • 保護が強化され、サーバーが常に稼働できるようになります。
    • これらすべての保護を無効にできるようにするためのアップデートです。

    したがって、テストされていないアプリのリスクにさらされることを希望するユーザーは、自己の責任でシステムを完全に非アクティブ化できます。終了する前に、暗号化について簡単に説明します。 OCSP クエリに (暗号化されていない) HTTP 接続を使用する Apple に対しては多くの批判がありました。真実は、これが世界中の OCSP の仕組みです。暗号化された HTTPS 接続が使用されると無限ループに陥るからです(はい、 ポッドキャストの名前)。 HTTPS は OCSP を使用してチェックする必要があり、HTTPS チェックは OCSP をチェックするために使用する必要があります。

    結論として、ゲートキーパー システムを実行し続けるサーバーのエラーにより、このインテリジェント セキュリティ システムについてさらに詳しく知ることができ、さらにそれをさらに進める同社の計画について知ることができました。単なる私の個人的な意見かもしれませんが、Apple がプライバシーを尊重していると言うのは、マーケティング上の理由ではなく、プライバシーを尊重しているからです。

    Apple、Gatekeeper の OCSP の仕組みを明らかにし、ユーザーのプライバシーに関する疑問を解消・関連動画

  • Apple、Flash Playerを装ったマルウェアを誤って公証、すでに再びブロックされている

    Apple の公証プロセスは、macOS 上の Mac App Store を通じてアプリケーションを配布しない開発者によって使用され、外部 Web サイトからソフトウェアをダウンロードするすべてのユーザーに対して最大限のセキュリティを確保することを目指しています。しかし、そのプロセスであっても人的エラーが常に発生する可能性があり、 TechCrunch によるとそれが起こったようです。

    どうやら Apple の誰かが、Flash Player インストーラーを装ったマルウェアを誤って承認したようです。このコンポーネントが macOS で使用される日は限られており、Windows や Linux でも使用できますが、一般ユーザーはこのコンポーネントをすべてのコンピューターに搭載すべきものと考え続けています。したがって、通常は、Flash アイコンがあるものをインストールすることに何の躊躇もありません。

    Appleはすでにバグを修正しています

    Mac マルウェア

    ソースはスクリーンショットを提供しています (すぐ上に表示されています)。そこでは、ユーザーがアプリケーションをインストールする許可を求められるmacOS Big Sur ダイアログが表示されます。このダイアログは、ソフトウェアが公証に基づいて承認されている場合にのみ表示されます。りんご。

    セキュリティ専門家のパトリック・ウォードル氏が隠れたマルウェアを最初に発見してアップルに通知したところ、アップルはすぐに承認を取り消し、このマルウェアがこれ以上のコンピューターにインストールされないようにした。言い換えれば、今すぐインストールしようとすると、Mac 自体がインストールしないよう真剣に警告するため、安心してください

    過去数日間に Mac に Flash Player をインストールした場合 (消滅したコンポーネントであるため、これ自体は珍しいことです)、念のため、システムをスキャンしてマルウェアまたはアドウェアがないか確認する必要があるかもしれません。 macOS が広く使用されるようになるにつれて、macOS はますます多くのマルウェアの標的となります。

    Apple、Flash Playerを装ったマルウェアを誤って公証、すでに再びブロックされている・関連動画

  • Apple、macOS Catalina アプリの公証人要件を 2020 年 1 月まで延期

    少し前に、macOS Catalina のすべてのアプリに必要な要件である公証人についてお話しました。基本的に Apple は、すべてのアプリに自社作成の「シール」を付けることを要求します。これは、自動テストに合格した後のアプリのバージョンを証明します。これは数時間かかる非常に単純なプロセスですが、 GateKeeper がアプリが Apple によって検証されたことを証明するために必要です。 この記事で詳しく説明します。

    当時、macOS Catalina 上で実行されるすべてのアプリは、その起動時から公証を受ける必要があり、公証されていない場合は、セキュリティ エラーが発生し、ユーザーが自己責任で実行するよう強制されるという条件が定められていました。実行中に CTRL キーを押します。実行しようとしているものが公証されていないライブラリである場合でも、アプリ内ではこの条件も必要でした。ベータ版では、これにより、Firefox が Catalina のセキュリティ エラーを報告したり、Chrome が Flash 実行パッケージ (アプリ自体の外部) が署名されていないと報告し、その実行が拒否されたりするなど、いくつかの問題が発生しました。

    Macosmojaveプライバシー 800x508

    すべてのアプリとそのバージョンは、有料の開発者プログラム アカウント (必須) で生成される Apple ID Developer で公証される必要があるという事実の根底にある複雑さにより、Apple はその要件を若干遅らせ、アプリに次のことを許可しました。来年 2020 年の 1 月まで適応されます

    実際、デスクトップ オペレーティング システムの複雑さを考慮すると、システムへのより「深い」アクセスを必要とする特定のアプリは認証を取得できないため、Apple は公証人を取得するための要件を下げる必要もありました。

    公証人の要求のレベルでは、システムに対して動作するエンジンを搭載した Firefox や Chrome 自体の Web ブラウザ、または Flash や Java などの仮想マシンが公証を受ける条件を取得することは不可能でした。多くの開発 IDE も同様です。

    このため、Apple はすべてのアプリを公証できるように次の例外を含める必要がありました。

    • システム整合性保護システムまたは SIP を補完し、カーネルへのアクセス、コード インジェクション、その他の攻撃の試みを防止するHardened Garden機能を有効にしていないアプリ。
    • アプリ内で開発者 ID で署名されていないライブラリを使用するアプリ。
    • アプリ署名内に安全なタイムスタンプが含まれていないアプリ。
    • 古いバージョンの SDK でコンパイルされたアプリ。
    • 資格com.apple.security.get-task-allowを true に設定したアプリは、アプリ自体の外部の他のプロセスがアプリにリンクできるようになります。たとえば、コード デバッガーのようなものです。

    すでに時々述べてきたように、デスクトップ オペレーティング システムはより複雑な世界であり、より高い汎用性を実現する必要があります。 iOS では、デフォルトでガーデン (強化されたガーデン) を閉じることができ、自分以外の仮想マシンの使用を禁止することもできます (ブラウザーの場合のように、システムの WebKit エンジンを使用する必要があります)。しかし、デスクトップ システムではこれは意味がありません。(プロフェッショナル ツールとして意味をなすためには) より大きな許容度を常に許可する必要があります。特に私たちが開発者として働いている場合はそうです。

    Apple は明らかに、Mac 上のアプリ開発とアプリの現実に適応する必要があり、ユーザーのセキュリティ保証を可能な限り維持するために、要件を緩和する以外に選択肢はありません。

    ここをクリックすると、開発者向けのプレス リリースを参照できます。

    Apple、macOS Catalina アプリの公証人要件を 2020 年 1 月まで延期・関連動画