Slide Automatisering voor het MKB

Apple het braafste jongetje…?

Apple stopt met het loggen van IP-adressen van gebruikers bij het valideren van macOS-apps en gaat encryptie toepassen bij de checks op Developer ID-certificaten van apps. Het bedrijf voert de wijzigingen door na privacykritiek en problemen met het starten van apps vorige week.

Apple voert in het komende jaar wijzigingen door in de manier waarop het apps valideert. Dat blijkt uit tekstpassages die Apple heeft toegevoegd aan zijn supportdocument over het veilig openen van apps op macOS. Het bedrijf gaat een nieuw versleutelingsprotocol gebruiken voor de checks op Developer ID-certificaten, meer bescherming bieden als de servers het laten afweten en een opt-outoptie bieden aan gebruikers die de bescherming niet willen.

De beloftes voor de wijzigingen komen na problemen met het starten van apps bij de release van macOS 11.0 Big Sur. Die problemen ontstonden doordat de servers voor het Online Certificate Status Protocol, of OCSP, platlagen. Apple gebruikt deze servers voor zijn Gatekeeper-technologie; die controleert of apps malware bevatten en op de juiste wijze door de ontwikkelaars zijn ondertekend met certificaten. Het gaat hierbij om X.509-certificaten en Apple kan deze in real time intrekken als het problemen constateert na een online check, ook al is de app zelf correct ge├»nstalleerd.

Bij onderzoek naar de aard van de appproblemen, benadrukten beveiligingsonderzoekers als Jeffrey Paul dat de OCSP-requests onversleuteld verzonden werden. Ook was er kritiek op het verzamelen van IP-adressen, het beperken van netwerktool Little Snitch in macOS Big Sur en het verdwijnen van de mogelijkheid in dat OS om de validatie te blokkeren in firewalls.

Apple meldt aan iPhone in Canada dat het bedrijf nooit data van de checks combineert met informatie van Apple-gebruikers of hun apparaten en dat het ook niet controleert wat individuele gebruikers voor apps draaien. Het bedrijf meldt gestopt te zijn met het loggen van IP-adressen bij de Developer ID-checks en dat het al verzamelde IP-adressen gaat verwijderen.