Este fin de semana los usuarios de ordenadores de Apple experimentaron problemas con la actualización a macOS 11.0 Big Sur, la última versión de este sistema operativo que por fin está disponible.
Ciertas aplicaciones no respondían y no se ejecutaban si estos ordenadores estaban conectados a internet. Eso hizo que un experto en ciberseguridad detectara algo singular gracias a esas caídas: Apple, que siempre ha presumido de respetar la privacidad de los usuarios, estaba según él recolectando un buen conjunto de datos de sus sesiones en sus Mac. ¿Para qué lo hace?
La polémica está servida, pero análisis adicionales de otros expertos lo niegan y Apple también ha aclarado la situación.
La acusación: Apple espía a sus usuarios
Jeffrey Paul, investigador de ciberseguridad, publicaba un análisis en el que explicaba cómo esos problemas con macOS estaban muy extendidos y comentados entre la comunidad de usuarios, y reveló que "resulta que en la actual versión de macOS, el sistema operativo le manda a Apple un hash (identificador único) de todos y cada uno los programas que ejecutas cuando los ejecutas".
Los datos recolectados son la fecha, hora, modelo de ordenador, proveedor de servicios de internet, ciudad, estado y hash de aplicación. Según este investigador, eso significa que "Apple sabe cuándo estás en casa, cuándo estás en el trabajo. Qué aplicaciones abres y con qué frecuencia". En realidad Apple lleva haciendo algo similar desde macOS Catalina, publicado en octubre de 2019, y algunos aseguran que de hecho recolecta estos datos desde la versión anterior, Mojave, que apareció en septiembre de 2018.
Igual no es para tanto
Un segundo análisis de otro experto en ciberseguridad, Jacopo Jannone, trataba de ver las cosas con otra perspectiva. Como él explicaba, OCSP es un sistema que evalúa la validez de un certificado y que se usa en la conocida aplicación Gatekeeper que trata de mantener los Mac seguros. Este proceso, llamado notaría o notarización, es ya un viejo conocido del funcionamiento de macOS a la hora de garantizar la seguridad de nuestro sistema.
Esa medida de seguridad es importante a la hora de evitar que software malicioso pueda ser ejecutado en los Mac. Mediante OCSP se comprueba si el identificador de desarrollador del certificado ha sido revocado si por ejemplo el software se ha visto comprometido o si un
certificado de desarrollador se ha usado para "firmar" aplicaciones maliciosas. funcionamiento del sistema es relativamente sencillo: cada vez que ejecutamos una aplicación, esta comprueba si el certificado que asegura que es una aplicación legítima y segura es válido.
Para ello debe conectarse a los servidores de Apple, y aquó Jannone explicaba que el hecho de que esa petición se realice a través de texto plano HTTP sin cifrar es una buena decisión, porque evita complejidad en el proceso y también posibles bucles infinitos.
Además de eso, en ese análisis trataba de analizar si realmente se podían identificar las aplicaciones que ejecutábamos con este sistema. Al analizar un ejemplo con la popular aplicación Wireshark para análisis de tráfico de red, lanzó una instancia de Firefox y comprobó qué información se pasaba al servidor OCSP de Apple.
Esos datos eran un comando GET con una cadena de 80 bytes que al ser descifrada mostraba su contenido. Como indicaba este investigador, "está claro que el servicio trustd en macOS no envía un hash de las aplicaciones que lanzas. En lugar de eso, simplemente envía información sobre cierto certificado, como esperaríamos si tenemos en cuenta lo que hace OCSP de forma nativa". Aún así, apuntaba este investigador, sería posible crear tablas que asocian cada una de estas cadenas con la aplicación correspondiente.
Apple aclara las dudas
Apple ha querido responder a estas críticas y ha publicado un documento en su sitio web de soporte indicando que
"macOS incluye una tecnología llamada Gatekeeper, que se ha diseñado para garantizar que en tu Mac solo se ejecute software de confianza" y que nunca ha vinculado la consulta de certificados con datos que pudieran identificar al usuario.
De hecho para evitar aún más las polémicas ha anunciado algunos cambios a este sistema.
Uno de los más importantes es el hecho de que ha dejado de recolectar la dirección IP de los equipos que se conectan con el servidor OCSP, y como comentan nuestros compañeros de Applesfera, habrá otras modificaciones en el funcionamiento de este servicio: Un nuevos sistema de cifrado para las consultas con el servidor OCSP.
Mejores protecciones para que los servidores estén siempre operativos.
Una actualización para poder desactivar todas estas protecciones.
Esto último quiere decir que los usuarios podrán si así lo desean desactivar esas comprobaciones bajo su propia responsabilidad, lo que debería hacer desaparecer las suspicacias. Jeffrey Paul no ha hecho comentarios de momento sobre esos análisis que contradicen esas acusaciones y tampoco sobre las explicaciones de Apple.
