Apple đã giải quyết những lo ngại về quyền riêng tư được nêu ra về macOS vào cuối tuần sau khi máy chủ ngừng hoạt động vào tuần trước.
Một bản báo cáo tuần trước đề xuất các biện pháp được sử dụng để bảo vệ người dùng chống lại phần mềm độc hại và đó là mối quan tâm về quyền riêng tư vì nó sử dụng số nhận dạng duy nhất mỗi khi người dùng mở ứng dụng.
Apple hiện đã giải quyết những yêu cầu này trong bản cập nhật cho tài liệu hỗ trợ ‘Mở ứng dụng an toàn trên máy Mac của bạn’. Trong một phần mới có tiêu đề ‘Bảo vệ quyền riêng tư’, Apple tuyên bố:
macOS được thiết kế để giữ an toàn cho người dùng và dữ liệu của họ trong khi vẫn tôn trọng quyền riêng tư của họ.
Gatekeeper thực hiện kiểm tra trực tuyến để xác minh xem ứng dụng có chứa phần mềm độc hại đã biết hay không và chứng chỉ ký của nhà phát triển có bị thu hồi hay không. Chúng tôi chưa bao giờ kết hợp dữ liệu từ những lần kiểm tra này với thông tin về người dùng Apple hoặc thiết bị của họ. Chúng tôi không sử dụng dữ liệu từ những lần kiểm tra này để tìm hiểu người dùng cá nhân đang khởi chạy hoặc chạy gì trên thiết bị của họ.
Nó sẽ kiểm tra xem ứng dụng có chứa phần mềm độc hại đã biết hay không bằng cách sử dụng kết nối được mã hóa có khả năng chống lại lỗi máy chủ.
Các kiểm tra bảo mật này chưa bao giờ bao gồm ID Apple của người dùng hoặc danh tính thiết bị của họ. Để bảo vệ quyền riêng tư hơn nữa, chúng tôi đã ngừng ghi các địa chỉ IP được liên kết với kiểm tra chứng chỉ ID nhà phát triển và chúng tôi sẽ đảm bảo rằng mọi địa chỉ IP đã thu thập đều bị xóa khỏi nhật ký.
Apple cũng đã xác nhận kế hoạch trong 12 tháng tới để giới thiệu ba thay đổi chính cho hệ thống này, đó là:
- Một giao thức được mã hóa mới để kiểm tra việc thu hồi chứng chỉ ID nhà phát triển
- Các biện pháp bảo vệ mạnh mẽ hơn chống lại lỗi máy chủ (đã khởi đầu cho toàn bộ cuộc tranh luận này)
- Tùy chọn từ chối cho người dùng
Về những lo ngại được đưa ra trong báo cáo ban đầu, Apple đã xác nhận rằng các kiểm tra thu hồi chứng chỉ được sử dụng tại hệ thống này rất quan trọng đối với bảo mật, vì chứng chỉ có thể bị thu hồi nếu nhà phát triển cho rằng nó đã bị xâm phạm hoặc được sử dụng để ký phần mềm có thể gây hại.
Apple tuyên bố rằng giao thức trạng thái chứng chỉ trực tuyến (OCSP) là một tiêu chuẩn công nghiệp và nó không chứa ID Apple, danh tính thiết bị của bạn hoặc ứng dụng đang được khởi chạy, đưa ra tuyên bố rằng vấn đề có nghĩa là Apple có thể nhìn thấy bạn là ai và bạn đang mở ứng dụng nào vào bất kỳ thời điểm nào.
Apple nói rằng OCSP cũng được sử dụng để kiểm tra các chứng chỉ khác như những chứng chỉ được sử dụng để mã hóa kết nối web, vì vậy chúng được thực hiện qua HTTP để ngăn chặn vòng lặp vô hạn (không có ý định chơi chữ) trong đó việc kiểm tra xem chứng chỉ có hợp lệ hay không có thể phụ thuộc vào kết quả của một yêu cầu đến cùng một máy chủ, mà nó sẽ không thể giải quyết.
Riêng biệt, tất cả các ứng dụng chạy trên macOS Catalina trở lên đều được Apple công chứng để xác nhận rằng chúng không chứa phần mềm độc hại khi chúng được tạo ra và ứng dụng được kiểm tra lại mỗi lần nó được mở để xác nhận rằng điều này không thay đổi trong trong thời gian chờ đợi. Apple cho biết những kiểm tra này được mã hóa và không dễ bị lỗi máy chủ.
Về sự cố ngừng hoạt động cụ thể của tuần trước, có vẻ như điều này là do sự cố phía máy chủ ngăn macOS có thể lưu vào bộ nhớ cache phản hồi đối với các kiểm tra OCSP, kết hợp với sự cố CDN không liên quan, gây ra hiệu suất chậm và treo nhiều người dùng đã thấy trước tuần. Apple cho biết điều này đã được khắc phục và người dùng không cần thực hiện bất kỳ thay đổi nào khi kết thúc. Kiểm tra công chứng ứng dụng (loại mã hóa được đề cập ở trên) không bị ảnh hưởng bởi sự cố ngừng hoạt động vào tuần trước.
Bất chấp điều đó, Apple sẽ giới thiệu một giao thức mã hóa mới cho các lần kiểm tra ID nhà phát triển cũ trong năm tới, cũng như tăng khả năng phục hồi của máy chủ và cuối cùng, bổ sung tùy chọn không tham gia cho người dùng.
Discussion about this post