Apple reageert op privacyzorgen over Mac-apps

Drie punten voor verbetering
Vlak na de release van macOS Big Sur ging er heel wat mis. Mac-gebruikers hadden moeite om apps te openen, ook als ze niet aan het updaten waren. Het bleek een probleem met Apple's OCSP-server en er ontstonden al snel theorieën dat Apple precies kunt zien welke apps je gebruikt en hoe lang.

Het niet kunnen openen van Mac-apps bleek flink wat ophef te veroorzaken, vooral nadat beveiligingsonderzoeker Jeffrey Paul een blogpost naar buiten bracht. Hierin stelt hij dat Mac-apps met ‘phoning home’ constant gegevens over het openen en gebruiken van apps naar de servers van Apple zouden sturen. In ‘Your Computer Isn’t Yours’ schetst Paul een zorgwekkende situatie, waaruit moet blijken dat Apple je privacy helemaal niet op de eerste plek zet. Het dataverkeer met de OCSP-servers van Apple is niet versleuteld en zou kunnen worden ingezien door je internetprovider en geheime diensten. Apple heeft nu gereageerd.


Apple’s reactie is een supportdocument met de titel ‘Safely open apps on your Mac’. Volgens Apple is macOS zo ontworpen dat je data veilig is en er tegelijk respect is voor je privacy. “Gatekeeper voert online checks uit om te controleren of een app bekende malware bevat en of het certificaat van de ontwikkelaar is ingetrokken”, meldt Apple. “We hebben nooit data van deze controle gecombineerd met informatie over Apple-gebruiker of hun devices. We gebruiken deze data niet om te achterhalen wat individuele gebruikers opstarten of op hun apparaten draaien.”

Notarization van Mac-apps

Het gaat hier om zogenaamde ‘notarization checks’ om te kijken of een app malware bevat. Hierbij wordt een versleutelde verbinding gebruikt. Volgens Apple zijn bij deze checks nooit Apple ID’s of unieke ID’s van het apparaat meegenomen. Verder is Apple gestopt met het vastleggen van IP-adressen bij het controleren of het certificaat dat bij een Developer ID hoort, nog wel geldig is. Apple belooft dat eerder verzamelde IP-adressen van de logbestanden verwijderd zullen worden.

App gedownload van internet
Apple houdt ook bij apps die je buiten de Mac App Store om hebt geïnstalleerd in de gaten, of ze wel veilig zijn.

Apple belooft beterschap en komt met verbeterplan
Blijkbaar was er toch wel iets aan de hand en zijn er nu plannen voor verbetering. Niet alleen worden de IP-adressen uit logbestanden gehaald, maar er zijn ook diverse maatregelen die het komende jaar worden uitgevoerd, zoals sterkere beveiliging tegen serverproblemen en een nieuw versleuteld protocol voor het controleren van ontwikkelaarscertificaten. Gebruikers krijgen ook de mogelijkheid om zich af te melden van deze beveiligingschecks.

App notarization
Notarization van apps is sinds februari 2020 verplicht.

Sommige gebruikers waren eigenhandig al op het idee gekomen om dataverkeer met Apple’s authenticatieservers te blokkeren, maar Apple gaat die mogelijkheid nu zelf bieden. Een wat uitgebreidere analyse van de situatie vind je hier. Nog even afgezien van privacy: het feit dat Apple certificaten verplicht stelt voor ontwikkelaars geeft je een veiliger gevoel, maar het zorgt er ook voor dat Apple op elk moment een app op afstand onbruikbaar kan maken. Sinds februari stelt Apple zogenaamde ‘notarization van apps‘ verplicht.

Reacties: 0 reacties

Reacties zijn gesloten voor dit artikel.