蘋果迴應mac軟體安全過程中的隱私問題

上週，許多Mac使用者在開啟應用程式時遇到了問題——這個問題似乎是由負責檢查軟體是否來自可信來源的蘋果安全協議引起的。這一程序的放緩促使一些人批評蘋果收集了太多關於使用者活動的資訊；蘋果公司目前已作出迴應，承諾將在未來改變這些安全協議的工作方式。...

上週，許多Mac使用者在開啟應用程式時遇到了問題——這個問題似乎是由負責檢查軟體是否來自可信來源的蘋果安全協議引起的。這一程序的放緩促使一些人批評蘋果收集了太多關於使用者活動的資訊；蘋果公司目前已作出迴應，承諾將在未來改變這些安全協議的工作方式。

蘋果透過其支援頁面宣佈了這些變化，在一個名為“在Mac上安全開啟應用程式”的頁面上增加了一個新的“隱私保護”部分（正如iPhone在加拿大發現的那樣）。蘋果稱，一個名為Gatekeeper的服務“執行線上檢查，以驗證一個應用程式是否包含已知的惡意軟體，以及開發者的簽名證書是否被吊銷。”該服務接著澄清了蘋果目前是如何使用這些資料的，並概述了明年將推出的新的安全措施。

對此驗證過程的投訴主要集中在一個稱為線上證書狀態協議服務（online certificate status protocol service，OCSP）的協議上。此安全功能檢查應用程式的開發人員證書在允許啟動之前是否未被吊銷。這次停機導致了對蘋果公司做法的仔細審查，其中最引人注目的是安全研究員傑弗裡·保羅（Jeffrey Paul）。

在一篇題為“你的電腦不是你的”的部落格文章中，Paul聲稱，這個安全過程意味著蘋果收集了Mac使用者透過未加密連線執行的每個程式的雜湊值，以及他們的IP地址。保羅寫道，最終的結果是，任何使用現代版本macOS的人，如果沒有“一份（他們的）活動被傳輸和儲存的日誌”，就無法做到這一點

然而，並不是每個人都同意保羅的分析。網路安全學生Jacopo Jannone的一篇部落格文章指出，傳送到蘋果OCSP伺服器的資料中包含的資訊可以識別應用程式的開發者，但不能識別應用程式本身。然而，Paul認為，由於許多開發者只發佈一個應用程式，因此從開發者的資訊中不難推斷出某人正在使用哪個應用程式。

在更新的支援檔案中，蘋果明確表示，在驗證軟體時進行的安全檢查不包括使用者的蘋果ID或裝置標識。該公司還表示，已停止記錄與開發者ID證書檢查相關的IP地址。“我們從未將這些檢查的資料與蘋果使用者或他們裝置的資訊結合起來，”這家iPhone**商寫道。“我們不會使用這些檢查的資料來了解單個使用者在其裝置上啟動或執行的內容。”

然而，有關這些投訴的一些資訊似乎已經在蘋果公司註冊，因為該公司表示，它將在未來改變處理這些檢查的方式。該公司表示，明年將推出一種新的加密協議，用於開發者身份證檢查，同時還將增加“防止伺服器故障的強大保護措施”，即防止上週應用程式無法開啟的問題。最後，使用者還可以選擇同時退出這些安全保護措施，這一改變似乎是為了平息像保羅這樣的抱怨。

更正11月16日，美國東部時間下午2點58分：這個故事的早期版本將蘋果的開發者ID證書檢查過程與蘋果的公證惡意軟體檢查過程混為一談。公證檢查目前已加密；證書檢查尚未加密。我們對這個錯誤感到遺憾。