昨天“苹果服务器故障导致 macOS 用户无法打开程序”新闻有感

2020-11-14 07:50:38 +08:00
 tzm41

昨天 MacRumors 上看见此新闻,说苹果服务器故障导致 macOS 用户无法打开程序。macOS 在打开每个程序前都要给苹果服务器发送包含用户 IP 、地理位置、运营商、程序 hash 的信息。无连接时会自动跳过,但有网络但服务器故障时,问题就显露了出来。

Big Sur 更新后,新的问题出现了: https://sneak.berlin/20201112/your-computer-isnt-yours/。总结:新系统里,这个用来给苹果通讯的 trustd 程序被苹果加入了白名单,无法被 Little Snitch 控制了。

苹果作为硬件公司,在我心里的标准是要高于卖用户信息的谷歌脸书等广告公司的。但苹果长期鼓吹保护用户隐私,但传输这种信息却不给用户关闭的选项。如果 macOS 上都无法关闭,更别说 iOS 上了。这个信息也没有加密,所以 ISP 也能截取,然后通过比对常见软件 hash,就可以知道何时何地用户用了什么软件。

作为一个长期果粉,看到苹果这种操作还是很难受的。

9327 次点击
所在节点    Apple
51 条回复
kiwier
2020-11-14 07:59:55 +08:00
装 firewall,禁掉试试 https://github.com/objective-see/LuLu
hello2060
2020-11-14 08:05:14 +08:00
还有这种事?那没有网络怎么办?
XsterreX
2020-11-14 08:08:20 +08:00
Macrumors 原文不是只说了因为服务崩溃导致打不开或者变卡,没说后面的什么 IP 隐私加密不加密啊
XsterreX
2020-11-14 08:10:18 +08:00
tzm41
2020-11-14 08:21:16 +08:00
@XsterreX 看我文中的链接
tzm41
2020-11-14 08:22:44 +08:00
@kiwier #1 LuLu 跟 Little Snitch 一样的情况,基于 kext 的防火墙都不能在 Big Sur 上用了。
tzm41
2020-11-14 08:23:15 +08:00
@hello2060 #2 没有网络的时候会自动 fail gracefully 。
hello2060
2020-11-14 08:25:27 +08:00
@tzm41 那这个检测的逻辑就不太对啊。没有网络应该等同于检测通不过啊按道理说
clrss
2020-11-14 08:38:55 +08:00
关了 SIP 好像就不会了(以及 Gatekeeper ?)

现在系统 Volume 分离,关了 SIP 也不会改变系统文件。
XsterreX
2020-11-14 08:45:16 +08:00
@tzm41 那个人也说是 ISP 级别的信息,还好吧……你手机只要联网这些信息不也是随便就拿到了,要说就是那个 App 的 hash 可以说道说道
kiwier
2020-11-14 08:45:52 +08:00
@tzm41 好吧
tzm41
2020-11-14 08:54:15 +08:00
@XsterreX 就是说的 app hash
SWYou
2020-11-14 09:37:35 +08:00
看了原文,有把 PRSM 联想到云上贵州,还蛮可怕的。
不过换别的系统:windows Android 未尝不是如此,说不定更夸张。
难道要用 unbuntu laptop + unbuntu 手机
lovestudykid
2020-11-14 10:03:58 +08:00
我记得昨天很多人说电脑变慢,原来是这个原因。但是有人让把相关域名加入 hosts 屏蔽就不会变慢,是不是这样就能防止被发送 log
lovestudykid
2020-11-14 10:04:56 +08:00
127.0.0.1 ocsp.apple.com
把这个加到 hosts
felixcode
2020-11-14 10:16:33 +08:00
苹果的隐私就是阻止其他公司获取隐私,而苹果掌握所有信息。
szq98
2020-11-14 10:43:14 +08:00
不解苹果是为什么这么做,但如果单纯是为了获取用户数据,那获取信息的过程不应该影响应用启动
rainboat
2020-11-14 10:57:01 +08:00
之前我一直认为这个功能是验证应用是否安全的,感觉还挺好的。但是这把用户 ip,位置都给发出去就不太理解了,这一点都不隐私。
icyalala
2020-11-14 11:00:10 +08:00
OCSP 是一个标准的互联网协议: https://en.wikipedia.org/wiki/Online_Certificate_Status_Protocol
是用于证书吊销列表替代的,一般使用标准 http 协议,不是 https,通信请求和返回都是 ASN.1 编码。

我抓了十来分钟手机,就已经发现了 4 个 oscp 服务:
ocsp.digicert.com
ocsp.int-x3.letsencrypt.org
ocsp.sectigo.com
ocsp.apple.com

请求的数据可以先用 URL Decode 解码为 base64,然后再用 ASN.1 解码,里面就两个 sha1 值,
返回也可以用 ANS.1 解码,内容就是证书相关信息。

苹果在官网也列出了 Certificate validation 域名和作用:
https://support.apple.com/en-us/HT210060

这都是长时间公开的东西,怎么突然就成新闻了呢。。
NoobX
2020-11-14 11:02:07 +08:00
为了实时更新证书,防止吊销,基本操作了
你打开 windows 应用的时候其实也会联系 Microsoft 服务器验证,只是没出这个服务器的事,你不知道罢了

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/725090

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX