在周四发布macOS Big Sur之后,Mac用户开始在连接到互联网时打开应用程序时遇到问题。Apple的系统状态页将这种情况归因于其Developer ID公证服务问题,而开发人员Jeff Johnson指定Apple的OCSP服务器存在连接问题。
不久之后,安全研究员Jeffrey Paul分享了一篇名为“您的计算机不是您的计算机”的博客文章,其中他提出了与Mac向苹果的OCSP服务器有关的隐私和安全问题。简而言之,保罗说macOS生成的OCSP流量未加密,ISP甚至美国军方都可能看到。
如iPhoneinCanada所述,苹果此后通过使用新信息更新其“在Mac上安全地打开应用程序”支持文档来回应此问题。这是完整的支持文档的“隐私保护”部分:
macOS旨在保护用户及其数据安全,同时尊重其隐私。
Gatekeeper进行在线检查,以验证应用程序是否包含已知恶意软件以及开发者的签名证书是否已被吊销。我们从未将来自这些检查的数据与有关Apple用户或其设备的信息相结合。我们不会使用来自这些检查的数据来了解各个用户正在其设备上启动或运行的内容。
公证使用可抵抗服务器故障的加密连接检查应用程序是否包含已知恶意软件。
这些安全检查从未包含用户的Apple ID或设备标识。为了进一步保护隐私,我们已经停止记录与开发人员ID证书检查关联的IP地址,并且我们将确保从日志中删除所有收集的IP地址。
苹果公司澄清说,在安全检查期间不会收集特定于用户的数据,并且计划从日志中删除所有IP信息。此外,它计划在明年对系统进行一些更改,包括:
- 苹果确认了隐私问题, 并承诺采取整改措施
- 不保存用户的 ip
- 设计新的加密协议来检测开发者证书撤销状态
- 允许用户不启用证书检测
一些用户提倡阻止对Apple身份验证服务器的通信,但看来Apple将来也会向最终用户提供此选项。