News

Big Sur hebelt Firewalls aus, um Daten an Apple zu senden

Dass macOS nach Hause telefoniert, lässt sich offenbar nicht mehr unterbinden. (Foto: Shutterstock)

Lesezeit: 3 Min. Gerade keine Zeit? Jetzt speichern und später lesen

Ein Serverausfall hat bei vielen Macs für Probleme gesorgt. Der Vorfall wirft aber auch Licht auf eine bedenkliche Neuerung in Big Sur: Dass macOS nach Hause telefoniert, lässt sich offenbar nicht mehr unterbinden.

Am 12. November berichteten die ersten Mac-Nutzer weltweit von sehr langsamen Programmen und Apps, die zum Teil nicht starten wollten. Beobachter vermuteten, das Herunterladen des zum gleichen Zeitpunkt freigegebenen macOS Big Sur sei der Grund für den Absturz des Zertifizierungsservers ocsp.apple.com. Doch auch bei Anwendern anderer Versionen traten Geschwindigkeitsprobleme auf. Apple-Dienste wie Apple Pay, Messages und sogar Apple-TV-Boxen zog das Problem in Mitleidenschaft. Von Verlangsamung, von Ausfällen und ungewöhnlichem Verhalten war die Rede.

Nix mehr verpassen: Die t3n Newsletter zu deinen Lieblingsthemen! Jetzt anmelden

Alles hängt an OCSP

Diverse Fachleute machten sich auf die Suche nach den Gründen und fanden heraus, dass der Prozess trustd eine Verbindung zu dem genannten OCSP-Server aufbauen will – und immer wieder daran scheitert. OCSP steht dabei für Online Certificate Status Protocol. Trustd überprüft auf diesen Servern digitale Zertifikate von Apple Programmen und Webseiten. Mit der Einführung von Gatekeeper 2012 überprüft das System bei jedem Programm die Code-Signierung auf dem OCSP-Server. Für die Nutzer wird diese Überprüfung bei nicht zertifizierten Programmen zum Beispiel durch einen Dialog sichtbar. Er weist sie darauf hin, dass sie ein Programm „aus dem Internet“ heruntergeladen haben und ob sie wirklich öffnen wollen. Experten ermittelten, warum die Apps nicht einfach einen „soft fail“ durchführen – also die App auch ohne Zertifikat validieren, als ob keine Netzwerkverbindung vorhanden wäre. Das lag anscheinend daran, dass die Geräte eine funktionierende Netzwerkverbindung erkannten. Also gaben sie die Verbindungsversuche nicht mit einem soft fail auf, und dem Nutzer die Apps, Dienste und Geräte nicht frei. Der Absturz des OCSP-Servers zeigte deutlich, wie viele Geräte und Dienste mit ihm kommunizieren.

Apple schleust mit Big Sur Prozesse an Wächtern vorbei

Weitere Spezialisten wurden an anderer Stelle stutzig: Ihre Apps lahmten, obwohl sie Apples Zugriff per Netzwerkfilter verboten hatten. Sicherheitsexperte Patrick Wardle kam der Sache auf die Spur: In Big Sur existiert eine neue „ContentFilterExclusionList“. In dieser „Ausführungsliste der Inhaltsfilter“ findet sich auch der Prozess trustd, der das Chaos angestellt hatte. Und was in dieser Liste steht, lässt sich nicht blockieren. Das heißt: Apple hat Routinen entwickelt, die absichtlich die eigenen Kommunikationskanäle vor dem Blocken durch Firewalls und Netzwerkfilter schützt. Prozesse auf Betriebssystemebene lassen sich nicht mehr über Tools wie Little Snitch einschränken. Apple-Anwendungen können Limitierungen von VPN einfach umgehen. Wardle stellt dar, dass etwa CommCenter (Mac-Telefonfunktionen) und Apple Maps an der Firewall/VPN vorbeikommunizieren.

Große Datenschutzbedenken aus Berlin

Der Sicherheitsexperte Jeffrey Paul aus der Bundeshauptstadt äußert unter dem Titel „Dein Computer gehört dir nicht mehr“ massive Sorgen. Über die IP ließen sich Schlüsse auf Datum, Uhrzeit, Computer, Internetprovider, Stadt, Bundesland und den Antrags-Hash selbst erzielen. Das bedeutet, Apple wüsste, wann man zu Hause ist, wann bei der Arbeit; welche Apps man wo öffnet und wie oft. Das gelte jedoch auch für Querverweise: So wüsste Apple, ob man Adobe Premiere im Haus eines Freundes nutzt und über dessen WLAN freigibt oder in welchem Hotel man wann den Tor-Browser geöffnet hat. Jeder könne die Hashes für gängige Programme berechnen, die OCSP-Anfragen würden zudem unverschlüsselt übertragen. Bisher sei es möglich gewesen, den Datenstrom Richtung Apple zu begrenzen, so Paul. Mit Big Sur – und somit mit der Einführung von Apple-Silicon-Macs – beende der Technologiekonzern diesen Schutz abrupt. Zudem fällt ihm auf, dass Apple über OCSP jederzeit jede beliebige App sperren könne, wenn sie nicht (mehr) ins eigene Konzept passe.

Meistgelesen

Bitte beachte unsere Community-Richtlinien

Wir freuen uns über kontroverse Diskussionen, die gerne auch mal hitzig geführt werden dürfen. Beleidigende, grob anstößige, rassistische und strafrechtlich relevante Äußerungen und Beiträge tolerieren wir nicht. Bitte achte darauf, dass du keine Texte veröffentlichst, für die du keine ausdrückliche Erlaubnis des Urhebers hast. Ebenfalls nicht erlaubt ist der Missbrauch der Webangebote unter t3n.de als Werbeplattform. Die Nennung von Produktnamen, Herstellern, Dienstleistern und Websites ist nur dann zulässig, wenn damit nicht vorrangig der Zweck der Werbung verfolgt wird. Wir behalten uns vor, Beiträge, die diese Regeln verletzen, zu löschen und Accounts zeitweilig oder auf Dauer zu sperren.

Trotz all dieser notwendigen Regeln: Diskutiere kontrovers, sage anderen deine Meinung, trage mit weiterführenden Informationen zum Wissensaustausch bei, aber bleibe dabei fair und respektiere die Meinung anderer. Wir wünschen Dir viel Spaß mit den Webangeboten von t3n und freuen uns auf spannende Beiträge.

Dein t3n-Team

5 Kommentare
Zero
Zero

An sich zwar schon ein seltsames Verhalten. Um aber nicht gleich den Teufel an die Wand zu malen, muss gesagt werden, dass durch dieses Vorgehen Schadprogramme keine Zertifikat-Anfragen umleiten und somit die Validierung austricksen können. Also neben den Datenschutz-Fiasko auch ein Stück Sicherheit.
Leider lassen sich Freiheit und Sicherheit nicht immer kompromisslos vereinen.

Antworten
dovermascot
dovermascot

“ dass durch dieses Vorgehen Schadprogramme keine Zertifikat-Anfragen umleiten “

Mal den verlinkten Artikel gelesen?

1) These OCSP requests are transmitted unencrypted. Everyone who can see the network can see these, including your ISP and anyone who has tapped their cables.
2) These requests go to a third-party CDN run by another company, Akamai.
3) Apple is a partner in the US military intelligence community’s PRISM spying program, which grants the US federal police and military unfettered access to this data without a warrant, any time they ask for it. In the first half of 2019 they did this over 18,000 times, and another 17,500+ times in the second half of 2019.

Mal abgesehen davon, dass es für Entwickler von Schadprogrammen eine Supersache ist, die Liste zu
manipulieren, um unbemerkt vom Anwender Kontakt zu eigenen Servern aufzunehmen.

Mann, fühle ich mich jetzt aber viel sicherer, was juckt mich da meine Freiheit xD

Antworten
Zero
Zero

Der Inhalt des OCSP Requests enthält keine persönlichen Daten über den Nutzer, sondern nur Verifizierungsdaten der App, daher ist der unverschlüsselte Versand erstmal kein Problem. Eher problematisch ist, dass im Rahmen eines Man-in-the-Middle Angriffs die gesendeten oder empfangenen Daten aufgrund der fehlenden Verschlüsselung ausgetauscht und macOS die Software somit als legitim ausgegeben werden können, sollte der Angreifer diese vorher durch Malware ausgetauscht haben können.
Doch wenn es die Zertifikatsabfrage gar nicht gäbe, wäre es wesentlich einfacher, Malware unbemerkt einzuschleusen.

Solange es nicht vorher schon eine Malware geschafft hat, die Zertifikatsprüfung (OCSP) zu bestehen/umgehen, SIP zu deaktivieren und sich Root-Rechte für die Manipulation der Liste anzueignen, kann sie die Liste auch nicht zu ihren Gunsten manipulieren.
Deshalb Sicherheit. Ließe Apple nun zu, dass Apps nicht über ihre OCSP Server verifiziert würden, weil der Nutzer dies über eine Firewall blockiert, würde dies Malware schonmal Tür und Tore öffnen. Und dann hat man seine gewünschte Freiheit: Die Freiheit die ach so vor jedem Unternehmen geheim zu haltenden Daten den echten Verbrechern in die Hände zu legen.

Nicht dass ich gerne meine Daten Unternehmen schenke. Aber viel zu oft wird wegen ein paar Fehlerlogs und nicht Personen zuordenbarer IDs mehr herum geschrien, als wenn ein tatsächlich „echter“ Datenraub durch Hacker stattfindet.

Unbedarfte Nutzer würden wohl eher alles blockieren, was ihnen nichts sagt und sich so selbst die Sicherheit zunichte machen. Von daher macht der Schritt Apples durchaus Sinn, solche Kommunikation um VPNs und Firewalls herum zu umgehen.

Wenn einem die Freiheit, ein paar Bytes pro Programmaufruf zu sparen wichtiger ist, als Malware zu verhindern, die „echte Datenschutzprobleme“ mit sich bringt, zu verhindern, dann sei es demjenigen die Malware gegönnt: Lehrgeld.

Jan
Jan

Mal angenommen, dass die OCSP-Anfragen tatsächlich zu wünschenswerten Verbesserung der Sicherheit beitragen. Dann sollte es möglich sein, dieses Verhalten zu konfigurieren oder zumindest mit entsprechender Personal Firewall zu blockieren.

Den eigentlichen Skandal sehe ich darin, dass Apple in Big Sur für eine solche Firewall nur noch eine API zur Verfügung stellt, über die man einige Systemprozesse nicht mehr lesen/abfangen kann. Dazu gehören zumindest zum Teil auch die OCSP-Requests. Wenn hier nicht nachgebessert wird sehe ich keine Zukunft von macOS bei professionellen Informatikern. Das sagen einige schon länger aber tatsächlich ist macOS eine echt ordentliche Plattform für viele Entwickler und Administratoren und es wäre echt schade sie zu verlieren.

Antworten
Michael R. Nachtigall
Michael R. Nachtigall

Hallo Leute,

das sind ja mal tolle Aussichten, die Sie da beschreiben.
Ich denke, wir haben keine Wahl. Oder?
Wenn wir mitspielen wollen, müssen wir doch unseren Rechner auf das neue Betriebssystem aktualisieren.

Nun bin ich ein alter Mann geworden – und sehr verunsichert. Oder ?

Ich entwickle Bilder mit Photoshop seit 1992 (CC 2019) und später (98) Webseiten mit Dreamweaver (CC 2019) und genau dafür habe ich immer (seit 1992) einen MAC gekauft.
Und im Juni habe ich mir einen neuen Rechner zugelegt. Pro Grafikkarte-i9-SSD-64 GB Ram-27 Zoll.
Ich wollte Performance erreichen. Und nicht gedrosselt zu werden.
Meine Bilder sind 10-stellige GIGAByte groß.

Warum Meckerern die Ammmis über Huawei, wenn sie dasselbe machen und allen anschein nach, auch machen dürfen?

Gruß aus Berlin

M. Nachtigall

Antworten

Melde dich mit deinem t3n Account an oder fülle die unteren Felder aus.

Bitte schalte deinen Adblocker für t3n.de aus!

Hey du! Schön, dass du hier bist. 😊

Bitte schalte deinen Adblocker für t3n.de aus, um diesen Artikel zu lesen.

Wir sind ein unabhängiger Publisher mit einem Team bestehend aus 70 fantastischen Menschen, aber ohne riesigen Konzern im Rücken. Banner und ähnliche Werbemittel sind für unsere Finanzierung sehr wichtig.

Danke für deine Unterstützung.

Digitales High Five,
Luca Caracciolo (Chefredakteur t3n) & das gesamte t3n-Team

Anleitung zur Deaktivierung