A Apple lançou no passado dia 12 o novo macOS Big Sur, um sistema muito elegante, dos mais cativantes quer na estética, quer na experiência de utilização. Contudo, no processo de atualização, alguns utilizadores tiveram problemas. Determinadas aplicações não respondiam e não funcionavam quando os Macs não estivam ligados à Internet. O cenário levou um especialista em cibersegurança a detetar algo “estranho” quando a máquina pedia ligação.
Segundo o investigador a Apple, que sempre se orgulhou de respeitar a privacidade dos utilizadores, estava, a recolher um bom conjunto dos dados das sessões nos Macs dos utilizadores. No entanto, ao que parece, a avaliação do especialista não corresponde à realidade. Outros investigadores negam que haja quebra de privacidade, assim como a Apple que também esclareceu a situação.
Profetas da desgraça acusam a Apple de espiar os seus utilizadores
Jeffrey Paul, um investigador de cibersegurança, publicou uma análise na qual explica como os recentes problemas com o macOS foram disseminados e comentados entre a comunidade de utilizadores. Revelou então que “na versão atual do macOS, o sistema operativo envia uma hash (identificador único) de cada um dos programas que o utilizador usa quando os executa”.
I am currently unable to work because macOS sends hashes of every opened executable to some server of theirs and when `trustd` and `syspolicyd` are unable to do so, the entire operating system grinds to a halt.
I'm typing this from my phone since the Mac is effectively frozen. pic.twitter.com/dWrjyuiXpQ
— Łukasz Langa ⚡️ (@llanga) November 12, 2020
Os dados recolhidos são a data, hora, modelo do computador, fornecedor de serviços de Internet, cidade, estado (distrito) e hash da aplicação. De acordo com este investigador, isso significa portanto, que “a Apple sabe quando a pessoa está em casa e quando está no trabalho. Quais as aplicações que abre e com que frequência”.
Na verdade, a Apple tem feito algo semelhante desde o macOS Catalina, publicado em outubro de 2019. Além disso, alguns afirmam mesmo que já recolhia estes dados da versão anterior, Mojave, que apareceu em setembro de 2018.
Mas há mais…
No entanto, os problemas não se ficavam por aqui. Segundo que foi escrito, estas informações ficam desprotegidas (não são cifradas). Assim, quem analisa o tráfego da rede também pode extrair estas informações, e Paul também indicou que a Apple faz parte do programa de espionagem PRISM nos Estados Unidos desde 2012, e que permite que as informações recolhidas acabem por ser analisadas pelas agências de inteligência dos EUA.
Até agora, os utilizadores da Apple podiam evitar esta recolha de dados com uma aplicação chamada Little Snitch, mas as novas APIs no macOS Big Sur impedem o Little Snitch de fazer o seu trabalho. Na verdade, a nova ferramenta ou “daemon do sistema”, trustd, contorna até mesmo as VPNs que os utilizadores podem usar: não há como evitar que as informações recolhidas cheguem onde a Apple quer.
macOS usa tecnologia para proteger o sistema de malware
Segundo o investigador, estes novos computadores da Apple (com processador M1), não são mais “do utilizador”. Apesar de serem comprados, estes só podem correr o macOS. Assim, o utilizador não terá como instalar nativamente outro sistema operativo.
Eles são as primeiras máquinas de uso geral na história onde [o utilizador] terá que fazer uma escolha exclusiva: ou tem uma máquina rápida e eficiente, ou tem uma privada. O seu computador agora serve a um mestre remoto.”
Paul compara a situação dos novos e futuros Macs baseados nos chips M1 da Apple (e as suas versões posteriores) com a de dispositivos iOS.
Noutros sistemas ARM da Apple (iPad, iPhone, Apple TV, Watch) é criptograficamente proibido desabilitar partes do sistema operativo, e o mesmo pode acontecer nestes novos Macs, algo que poderemos saber nos próximos dias ou semanas.
Paul suspeita que a explicação mais simples para este tipo de recolha de dados “faça parte dos esforços da Apple para prevenir malware e garantir a segurança da plataforma no macOS”. O problema é que este tipo de tráfego, denominado OCSP (Online Certificate Status Protocol), não é criptografado e torna-o perfeito para ser vigiado por agências de inteligência.
O efeito colateral é que isso funciona como a telemetria, não importa qual seja o objetivo original do OCSP.
Enfatiza Jeffrey Paul, um investigador de cibersegurança.
Afinal… o caso não tem nada a ver com espionagem!
Segundo outra análise feita por pelo especialista em segurança cibernética, Jacopo Jannone, a questão não é como Paul refere. Este outro especialista interpretou os factos com outra perspetiva.
Conforme é explicado, o OCSP é um sistema que avalia a validade de um certificado e é usado na conhecida aplicação Gatekeeper que tenta manter os Macs seguros. Este processo, denominado notário ou notarização, já é um processo antigo e conhecido do funcionamento do macOS quando se trata de garantir a segurança do sistema de cada utilizador.
Hey Apple users:
If you’re now experiencing hangs launching apps on the Mac, I figured out the problem using Little Snitch.
It’s trustd connecting to https://t.co/FzIGwbGRan
Denying that connection fixes it, because OCSP is a soft failure.
(Disconnect internet also fixes.) pic.twitter.com/w9YciFltrb
— Jeff Johnson (@lapcatsoftware) November 12, 2020
Segundo o especialista, esta medida de segurança é importante quando se trata de evitar que software malicioso seja executado nos Macs. Então, recorrendo ao OCSP, é verificado se o identificador de programador do certificado foi revogado, se, por exemplo, o software foi comprometido ou se um certificado do programador foi usado para “assinar” aplicações maliciosas.
Sistema da Apple procura malware para proteção da máquina
O funcionamento do sistema é relativamente simples: cada vez que executamos uma aplicação, esta verifica se o certificado que garante que é uma aplicação legítima e segura é válido. Assim, o mecanismo tem de se ligar aos servidores da Apple. Jannone explicou que o facto de esta solicitação ser feita através de texto simples HTTP não criptografado é uma boa decisão, pois evita a complexidade no processo e também possíveis loops infinitos.
Além disso, nesta análise foi analisado se as aplicações que funcionavam com este sistema podiam realmente ser identificadas. Então, recorrendo ao popular software Wireshark para análise de tráfego de rede, o especialista lançou uma instância do Firefox e verificou quais informações estavam a ser passadas para o servidor OCSP da Apple.
Estes dados eram um comando GET com uma string de 80 bytes que, quando descriptografada, exibia o seu conteúdo. Como este investigador apontou, “está claro que o serviço trustd no macOS não envia uma hash das aplicações que o utilizador inicia. Em vez disso, ele simplesmente envia informações sobre um determinado certificado, como seria de se esperar se considerarmos o que o OCSP faz nativamente”. Mesmo assim, destacou este especialista, seria possível criar tabelas que associassem cada uma dessas cadeias à aplicação correspondente.
Como tal, ao tentar verificar esta possibilidade, Jacopo percebeu que o macOS envia “algumas informações opacas sobre o certificado de programador de algumas aplicações”, mas isso não significa que a Apple esteja a espiar os utilizadores. Para este investigador “o macOS não envia à Apple uma hash das suas aplicações sempre que o utilizador as executa” , embora “possa transmitir certas informações opacas sobre o certificado de programador das aplicações que são usadas”.
Outras análises confirmam que não há espionagem nenhuma
Outras análises parecem concordar com aquela avaliação do sistema de validação das aplicações ou notarização que a Apple faz no macOS. Além disso, indicam que “gerir a confiança das aplicações é difícil, mas a Apple faz bem o serviço”.
Este sistema permite que o utilizador esteja sempre protegido de forma a que o sistema tenha uma ação pró-ativa, caso o computador tenha instalado malware. Este poderá não conseguir ser executado, salvaguardando a segurança de cada Mac e do seu utilizador.
A Apple esclarece as dúvidas
A Apple quis responder a estas críticas e publicou um documento no seu site de suporte onde afirma que “o macOS inclui uma tecnologia chamada Gatekeeper, que foi projetada para garantir que apenas software confiável é executado em cada Mac” e que nunca tenha vinculado a consulta de certificados com dados que pudessem identificar o usuário.
Na verdade, para evitar ainda mais polémica, anunciou algumas mudanças neste sistema. Um dos mais importantes é o facto de ter parado de recolher o endereço IP dos computadores que se ligam ao servidor OCSP e, conforme foi referido na Applesfera, haverá outras alterações no funcionamento deste serviço:
- Um novo sistema de criptografia para consultas com o servidor OCSP.
- Melhores proteções para que os servidores estejam sempre operacionais.
- Uma atualização para poder desativar todas essas proteções.
Este último significa que os utilizadores podem, se quiserem, desligar estas verificações por sua própria conta e risco. Assim, estas suspeitas, para os mais “preocupados”, devem desaparecer. Jeffrey Paul não comentou até agora sobre as análises que contradizem a suas acusações, nem sobre as explicações da Apple. Contudo, fica claro que levantou uma análise errada e que não corresponde de todo à verdade dos factos.