昨天“苹果服务器故障导致 macOS 用户无法打开程序”新闻有感

2020-11-14 07:50:38 +08:00
 tzm41

昨天 MacRumors 上看见此新闻,说苹果服务器故障导致 macOS 用户无法打开程序。macOS 在打开每个程序前都要给苹果服务器发送包含用户 IP 、地理位置、运营商、程序 hash 的信息。无连接时会自动跳过,但有网络但服务器故障时,问题就显露了出来。

Big Sur 更新后,新的问题出现了: https://sneak.berlin/20201112/your-computer-isnt-yours/。总结:新系统里,这个用来给苹果通讯的 trustd 程序被苹果加入了白名单,无法被 Little Snitch 控制了。

苹果作为硬件公司,在我心里的标准是要高于卖用户信息的谷歌脸书等广告公司的。但苹果长期鼓吹保护用户隐私,但传输这种信息却不给用户关闭的选项。如果 macOS 上都无法关闭,更别说 iOS 上了。这个信息也没有加密,所以 ISP 也能截取,然后通过比对常见软件 hash,就可以知道何时何地用户用了什么软件。

作为一个长期果粉,看到苹果这种操作还是很难受的。

9326 次点击
所在节点    Apple
51 条回复
geniussoft
2020-11-14 11:04:12 +08:00
有点怀疑。

苹果上哪知道你 Mac 的运营商是什么...

但是显然,这应该有选修关掉。
tsanie
2020-11-14 11:14:00 +08:00
国内不是因为 ocsp.int-x3.letsencrypt.org 经常被污染出过不少 OCSP 相关的幺蛾子么,我以为都习以为常了 😂
nikolai
2020-11-14 11:33:13 +08:00
@tzm41 Lulu 最新版改用 NE 框架了,可以用。2.0 版本需要去主页下载
opengps
2020-11-14 11:45:43 +08:00
据我所知,lbs 服务后台,iphone 掌握的 wifi,ip,蓝牙等基站数据远远多于其他厂商,然而却只有自己用,这种所谓的保护隐私,不过是独占隐私而已
marcong95
2020-11-14 11:56:58 +08:00
如果只是 OCSP 的话估计又是你们又想搞个大新闻,这不是 HTTPS 的基本流程么,怎么可能让用户关掉呢,跟普通的 telemetry 不是同一个事情的。AppStore 不是玩全面 HTTPS 的么,这个自然就必不可少了。

你们这么重视隐私还是把自己藏 Tor 下面算了。。。
des
2020-11-14 12:17:09 +08:00
trustd 绕过防火墙,也不走代理了,难道这个不能算新闻吗?
kyor0
2020-11-14 12:40:28 +08:00
@des Tor 真的太慢
venster
2020-11-14 13:12:17 +08:00
@NoobX 微软也有。有些程序再打开的时候会检查吊销列表,如果计算机上不去网的话就得等几十秒才能进行下一步。组策略里面有一个专门的选项,无法联网的计算机最好把那个打开。要不然有些.net 程序会莫名其妙的慢
tzm41
2020-11-14 13:12:17 +08:00
WebKit
2020-11-14 16:48:29 +08:00
@SWYou Android 没有哦。别瞎说。源代码都放在那里呢
iptables
2020-11-14 17:25:05 +08:00
我的第一反应是 Gatekeeper 在检测应用,不知道移除 com.apple.quarantine 的属性能否解决这个问题?
tzm41
2020-11-14 19:08:48 +08:00
@iptables #31 Panic 的开发者确实说是 Gatekeeper 在作祟
dingwen07
2020-11-14 21:09:05 +08:00
iOS 应该是一直有的,之前路由器 koolss 坏掉了把国外网站的连接全部丢掉,之后就出现 iOS 打开许多 app 跳出一个 iTunes 交易失败的提示,其中甚至包含 Safari
jim9606
2020-11-14 21:45:42 +08:00
OCSP 这玩意被谷歌的工程师 Adam Langley 嘲讽为“崩溃时扣上的安全带”。
而且确实存在向 OCSP 服务器暴露域名访问记录的问题,这个问题跟用不用加密无关。
而且部分 CA 的 OCSP 服务器质量确实不咋地,反正我的 win10 是把这功能关了。
SWYou
2020-11-14 23:09:40 +08:00
@WebKit 哦 Android 没有,不过安卓就不好说了。希望你用的是 Android 吧
tsanie
2020-11-14 23:16:20 +08:00
@WebKit AOSP 没有我信,Android 算了吧,说个笑话谷歌不作恶。
WebKit
2020-11-14 23:48:51 +08:00
@tsanie @SWYou 简单,自己抓包看看就知道了。
shily
2020-11-15 00:23:23 +08:00
@SWYou
@tsanie
@WebKit
安卓和 Android 是自签名的,应该是没有这个服务。所以 Android 上,无论从哪里下载的安装包理论上都是不可信。
WebKit
2020-11-15 00:57:08 +08:00
@shily 是的。也有用那种购买的证书的,不过特别少。
theolin
2020-11-15 02:03:30 +08:00
macOS 在 设置-安全性与隐私 里面不是提供了开关的么?而且也说得很清楚会收集哪些内容。为什么说没有给用户开关呢?

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/725090

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX