Big Sur hebelt Firewalls aus, um Daten an Apple zu senden - t3n – digital pioneers

Dass macOS nach Hause telefoniert, lässt sich offenbar nicht mehr unterbinden. (Foto: Shutterstock)

13.11.2020, 14:41 Uhr • Lesezeit: 3 Min. Gerade keine Zeit? Jetzt speichern und später lesen

Ein Serverausfall hat bei vielen Macs für Probleme gesorgt. Der Vorfall wirft aber auch Licht auf eine bedenkliche Neuerung in Big Sur: Dass macOS nach Hause telefoniert, lässt sich offenbar nicht mehr unterbinden.

Am 12. November berichteten die ersten Mac-Nutzer weltweit von sehr langsamen Programmen und Apps, die zum Teil nicht starten wollten. Beobachter vermuteten, das Herunterladen des zum gleichen Zeitpunkt freigegebenen macOS Big Sur sei der Grund für den Absturz des Zertifizierungsservers ocsp.apple.com. Doch auch bei Anwendern anderer Versionen traten Geschwindigkeitsprobleme auf. Apple-Dienste wie Apple Pay, Messages und sogar Apple-TV-Boxen zog das Problem in Mitleidenschaft. Von Verlangsamung, von Ausfällen und ungewöhnlichem Verhalten war die Rede.

Nix mehr verpassen: Die t3n Newsletter zu deinen Lieblingsthemen! Jetzt anmelden

Alles hängt an OCSP

Diverse Fachleute machten sich auf die Suche nach den Gründen und fanden heraus, dass der Prozess trustd eine Verbindung zu dem genannten OCSP-Server aufbauen will – und immer wieder daran scheitert. OCSP steht dabei für Online Certificate Status Protocol. Trustd überprüft auf diesen Servern digitale Zertifikate von Apple Programmen und Webseiten. Mit der Einführung von Gatekeeper 2012 überprüft das System bei jedem Programm die Code-Signierung auf dem OCSP-Server. Für die Nutzer wird diese Überprüfung bei nicht zertifizierten Programmen zum Beispiel durch einen Dialog sichtbar. Er weist sie darauf hin, dass sie ein Programm „aus dem Internet“ heruntergeladen haben und ob sie wirklich öffnen wollen. Experten ermittelten, warum die Apps nicht einfach einen „soft fail“ durchführen – also die App auch ohne Zertifikat validieren, als ob keine Netzwerkverbindung vorhanden wäre. Das lag anscheinend daran, dass die Geräte eine funktionierende Netzwerkverbindung erkannten. Also gaben sie die Verbindungsversuche nicht mit einem soft fail auf, und dem Nutzer die Apps, Dienste und Geräte nicht frei. Der Absturz des OCSP-Servers zeigte deutlich, wie viele Geräte und Dienste mit ihm kommunizieren.

Hey Apple users:

If you're now experiencing hangs launching apps on the Mac, I figured out the problem using Little Snitch.

It's trustd connecting to https://t.co/FzIGwbGRan

Denying that connection fixes it, because OCSP is a soft failure.

(Disconnect internet also fixes.) pic.twitter.com/w9YciFltrb

— Jeff Johnson (@lapcatsoftware) November 12, 2020

Apple schleust mit Big Sur Prozesse an Wächtern vorbei

Weitere Spezialisten wurden an anderer Stelle stutzig: Ihre Apps lahmten, obwohl sie Apples Zugriff per Netzwerkfilter verboten hatten. Sicherheitsexperte Patrick Wardle kam der Sache auf die Spur: In Big Sur existiert eine neue „ContentFilterExclusionList“. In dieser „Ausführungsliste der Inhaltsfilter“ findet sich auch der Prozess trustd, der das Chaos angestellt hatte. Und was in dieser Liste steht, lässt sich nicht blockieren. Das heißt: Apple hat Routinen entwickelt, die absichtlich die eigenen Kommunikationskanäle vor dem Blocken durch Firewalls und Netzwerkfilter schützt. Prozesse auf Betriebssystemebene lassen sich nicht mehr über Tools wie Little Snitch einschränken. Apple-Anwendungen können Limitierungen von VPN einfach umgehen. Wardle stellt dar, dass etwa CommCenter (Mac-Telefonfunktionen) und Apple Maps an der Firewall/VPN vorbeikommunizieren.

On Big Sur, trustd is in Apple's "ContentFilterExclusionList"
....meaning firewalls can't block it! 😭

Welcome to the future? 😱 https://t.co/8PkmWkcZDS pic.twitter.com/ypYxLRGULn

— patrick wardle (@patrickwardle) November 12, 2020

Große Datenschutzbedenken aus Berlin

Der Sicherheitsexperte Jeffrey Paul aus der Bundeshauptstadt äußert unter dem Titel „Dein Computer gehört dir nicht mehr“ massive Sorgen. Über die IP ließen sich Schlüsse auf Datum, Uhrzeit, Computer, Internetprovider, Stadt, Bundesland und den Antrags-Hash selbst erzielen. Das bedeutet, Apple wüsste, wann man zu Hause ist, wann bei der Arbeit; welche Apps man wo öffnet und wie oft. Das gelte jedoch auch für Querverweise: So wüsste Apple, ob man Adobe Premiere im Haus eines Freundes nutzt und über dessen WLAN freigibt oder in welchem Hotel man wann den Tor-Browser geöffnet hat. Jeder könne die Hashes für gängige Programme berechnen, die OCSP-Anfragen würden zudem unverschlüsselt übertragen. Bisher sei es möglich gewesen, den Datenstrom Richtung Apple zu begrenzen, so Paul. Mit Big Sur – und somit mit der Einführung von Apple-Silicon-Macs – beende der Technologiekonzern diesen Schutz abrupt. Zudem fällt ihm auf, dass Apple über OCSP jederzeit jede beliebige App sperren könne, wenn sie nicht (mehr) ins eigene Konzept passe.

Meistgelesen

Let's block ads! (Why?)

Artikel von & Weiterlesen ( Big Sur hebelt Firewalls aus, um Daten an Apple zu senden - t3n – digital pioneers )
https://ift.tt/35r2j8i
Wissenschaft & Technik

Bagikan Berita Ini