Sanno dove sei. Sanno cosa stai facendo. Sanno quando lo stai facendo. Potrebbe essere l’incipit di una nuova spy story, ma stiamo parlando di un fatto reale e che coinvolge Apple. Una cosa non di poco conto, se si considera quanto da Cupertino pongono la loro attenzione sulla privacy dell’utente, anche implementando strumenti tanto nei sistemi operativi quanto in Safari al fine di limitare il più possibile la trasmissione di dati verso terzi che in qualche modo permettano di risalire al benché minimo dato personale. Purtroppo però non sono sempre attenti alle bucce di banana, e quando vi scivolano sopra creano inevitabilmente clamore.
L’oggetto del contendere è stato affrontato dal ricercatore di sicurezza Jeffrey Paul. È venuto alla ribalta per una fortuita coincidenza: il rilascio di macOS Big Sur. Molti dei lettori, così come noi in redazione, si sono sicuramente scontrati con le enormi difficoltà giovedì nell’ottenere l’aggiornamento, con grande lentezza nel download anche su connessioni in fibra Gigabit, ripetute interruzioni ed errori che hanno costretto a ripetere l’operazione da capo. La rete di server Apple deputata alla distribuzione dell’aggiornamento è andata in sovraccarico e la soluzione in vari casi è stata quella di rimandare l’upgrade al giorno dopo. C’è stato tuttavia un altro effetto collaterale, di cui magari non si sono accorti tutti, ma che ai più esperti non è passato inosservato: quella sera stessa anche il lancio di applicazioni risultava problematico.
Hey Apple users:
If you're now experiencing hangs launching apps on the Mac, I figured out the problem using Little Snitch.
It's trustd connecting to https://t.co/FzIGwbGRan
Denying that connection fixes it, because OCSP is a soft failure.
(Disconnect internet also fixes.) pic.twitter.com/w9YciFltrb
— Jeff Johnson (@lapcatsoftware) 12 novembre 2020
A combinare guai era il processo di sistema “trustd” quando si collegava al server OCSP Apple. Qual è il suo scopo? In sostanza, si tratta di uno standard che la mela usa per accertarsi se l’applicazione in fase di avvio provenga da uno sviluppatore con un regolare certificato di distribuzione, impedendone l’esecuzione se la validità è stata revocata. Ciò può costituire un’utile protezione antimalware, dal momento che alcuni di tanto in tanto riescono a sfuggire, almeno inizialmente, alle protezioni proprio sfruttando certificati regolari. L’operazione richiede che il Mac sia sempre online; in caso contrario non va a buon fine, ma senza alcun messaggio d’errore e l’app prosegue normalmente la sua esecuzione. Se però il computer è connesso e il server OCSP è in panne, come giovedì, allora possono crearsi problemi.
Una sicurezza che comporta un prezzo, secondo quanto sostiene Paul in base ai rilevamenti. Il processo “trustd” trasmette un identificatore per ogni app eseguita, insieme al proprio indirizzo IP. Questo consente ad Apple di venire a conoscenza di data, ora, modello, provider di rete e ubicazione geografica, almeno a grosso modo: dati di cui non se ne fa un granché, se non a fini diagnostici (eventualmente in aggiunta, mai in sostituzione, ai dati di analisi, a seconda se l’utente abbia dato o no il consenso per questi ultimi – ci torneremo nell’ambito delle considerazioni finali). A far storcere il naso al ricercatore berlinese sono perlopiù altri fattori. I dati vengono trasmessi senza codifica, dunque potenzialmente visibili al proprio provider e agli enti governativi o anche malintenzionati in grado di intercettarne le connessioni; transitano inoltre attraverso la Content Delivery Network, o CDN, di Akamai, uno dei più noti distributori di contenuti online per conto terzi.
Benché non vi sia un trasferimento di file personali, è chiaro che nelle mani sbagliate, o presso regimi non molto propensi sul fronte dei diritti umani, questo può costituire potenziali pericoli per il singolo. I dati sono sufficienti per una profilazione sufficientemente accurata di attività e spostamenti. In base alle ulteriori indagini che Paul ha effettuato, avvalendosi pure della collaborazione di altri esperti come Patrick Wardle e Jeff Johnson, “trustd” è stato introdotto a partire da Mojave. Nelle prove è emerso come l’utilizzo di firewall di terze parti come Little Snitch e altri accorgimenti renda possibile l’inibizione del processo senza impatti sull’operatività del Mac; con Big Sur però le cose sono cambiate, visto che è inserito in una speciale lista di processi di sistema la cui trasmissione di dati non può essere bloccata. Occorre utilizzare altri metodi, che richiedono modifiche più dirette nel sistema, così come la disattivazione di meccanismi come System Integrity Protection e l’allentamento della modalità di sicurezza sui Mac Intel dotati di chip T2 e i nuovi con M1.
Guardiamo all’atto pratico cosa comporta per l’utente comune tutto quanto abbiamo descritto: ben poco. Si tratta di una quantità di dati per la quale non c’è di che temere e anzi è probabile che forniamo in altri modi ancora più informazioni personali di quelle raccolte qui da macOS. Chi desidera maggiori misure protettive sa già quali precauzioni prendere e le avrà intraprese. L’uso da parte di Apple è poi privo di malizia, a fini di sicurezza, e qualsiasi software raccoglie dati, per scopi buoni (telemetria) o meno buoni (pubblicità mirate). Nessuno è senza peccato, nessuno può scagliare la cosiddetta prima pietra.
Nondimeno resta una brutta figura a livello d’immagine, considerato che la raccolta dati avviene priva di qualsiasi protezione per quanto trasmesso, senza informazione né consenso dell’utente, al contrario ma soprattutto a prescindere della scelta che invece può essere adoperata in qualsiasi momento riguardo i dati di analisi. A maggior ragione se si considerano poi le già citate ripetute iniziative votate a promuovere i dispositivi cupertiniani come la miglior opzione per proteggere la propria privacy. Per quanto l’impatto della situazione possa essere limitato almeno per noi e non si deve eccedere nel drammatizzarla (come, va detto, fa lo stesso Jeffrey Paul affermando come il Mac sia diventato solo uno strumento per essere controllati), le critiche mosse sono più che comprensibili, anche come forma di par condicio visto che Microsoft viene criticata da tanti anni nello stesso ambito. Sicuramente i prossimi aggiornamenti apporteranno delle correzioni di tiro, perlomeno garantendo una trasmissione codificata degli identificatori e informando meglio riguardo lo scopo di questa raccolta di base sempre attiva. Fino ad allora e forse anche dopo, però, sarà difficile placare le polemiche.
NOTA: la versione originale conteneva una formulazione diversa del paragrafo riguardante i rischi reali. In base al feedback ricevuto, del quale ringrazio, riconosco che l’espressione in precedenza utilizzata non fosse la più adatta, benché l’intenzione era di guardare la questione su un piano pragmatico.
L’italiano Jacopo Iannone ha fatto maggiormente luce sulla vicenda. Innanzitutto, la questione della mancata codifica si lega all’uso del vecchio HTTP, e non HTTPS, per le verifiche OCSP. L’utilizzo di HTTPS, benché aumenterebbe la sicurezza della trasmissione dati, comporterebbe l’apertura di connessioni multiple dal momento che si verificherebbe un loop di controlli (prima di verificare il certificato OCSP, verrebbe verificato il certificato HTTPS, il che aprirebbe a sua volta un’altra connessione HTTPS e così via).
Il controllo OCSP non viene inoltre effettuato sempre, ma solo dopo un periodo: riaprire la stessa app a breve distanza temporale non implica il ripetersi della verifica (aggiungiamo a tal proposito che, stando all’articolo di supporto già linkato nel post principale, viene mantenuta una cache dal Mac valida tra i 3 e i 7 giorni, con una nuova verifica effettuata alla sua scadenza o dopo un riavvio del computer). Inoltre, più che un vero e proprio identificatore univoco il processo “trustd” invia un piccolo pacchetto di informazioni sul certificato legato all’app lanciata e al suo sviluppatore (nell’esempio fatto da Iannone verificando le richieste OCSP per Firefox e Thunderbird, è emerso come il seriale del certificato sia identico tra loro, un comportamento coerente e giusto dal momento che vengono entrambi sviluppati da Mozilla). Infine, viene ben distinta la differenza rispetto alla verifica della cosiddetta notarizzazione, che avviene solo al primo avvio dell’app, in forma protetta tramite HTTPS, ed è un processo cui l’utente stesso a volte può assistere: sarà capitato di vedere al lancio iniziale di un’applicazione appena installata un piccolo indicatore di progresso avanzare.
Tutto questo approfondisce l’articolo soprastante, ma non ne cambia la conclusione, anzi conferma ancor più che per noi utenti l’impatto è praticamente nullo, fornendo anzi una protezione di sicurezza, e la pecca compiuta da Apple qui è soprattutto di comunicazione non precisando che un minimo scambio di informazioni viene periodicamente fatto da macOS a prescindere dalle scelte effettuate riguardo i dati di analisi.
In risposta alle recenti controversie, Apple ha aggiornato l’articolo di supporto riguardante Gatekeeper aggiungendo alcune note riguardo alle verifiche dei certificati, che vengono effettuate mantenendo il rispetto della privacy dell’utente. Ad ogni modo, da Cupertino promettono ulteriori misure di protezione dei dati personali rimuovendo l’indirizzo IP del computer dai dati archiviati. Infine, sarà rafforzata l’infrastruttura al fine di non ripetere situazioni come quella di giovedì scorso.
Oltre a richiedere rispetto ed educazione, vi ricordiamo che tutti i commenti con un link entrano in coda di moderazione e possono passare diverse ore prima che un admin li attivi. Anche i punti senza uno spazio dopo possono essere considerati link causando lo stesso problema.