Anúncio Black Friday na Insider: descontos exclusivos na máscara antiviral

O escândalo de privacidade do OCSP no macOS Big Sur

Vários leitores me indicaram este post do pesquisador Jeffrey Paul em que ele cita o OCSP, um protocolo usado pelo sistema de segurança do macOS chamado Gatekeeper que se comunica periodicamente com servidores da Apple. Para Jeffrey, o uso do OCSP representa uma falha grave de privacidade porque os envios não são criptografados e revelam quais apps cada usuário executa em seu computador.

O OCSP atua no macOS desde a versão Mojave, de 2017, e, como o nome indica (é uma sigla para Online Certificate Status Protocol), serve para verificar se um app que o usuário deseja rodar usa certificados válidos. A Apple pode e sempre revoga certificados usados por apps comprometidos, vírus e outras ameaças, impedindo-os de serem executados e causarem danos ao computador. O OCSP é, pois, um recurso de segurança que não havia chamado a atenção (ver aqui e aqui). Chamou agora por dois motivos:

  1. Na noite da última quinta (12), os servidores da Apple que fazem a verificação do OCSP ficaram muito lentos, talvez por sobrecarga. O macOS tem uma condicional para ignorar a verificação caso esses servidores estejam inacessíveis, mas como eles estavam acessíveis, só que muito lentos, o sistema manteve a verificação, que — você adivinhou — ficou bem lenta, a ponto de prejudicar o uso do computador.
  2. No macOS Big Sur, lançado no mesmo dia, o serviço responsável pelo OCSP e alguns outros relacionados a aplicativos da própria Apple foram “escondidos” do usuário, de modo que apps de monitoramento do tráfego/firewalls, como o Little Snitch, não conseguem mais barrar esses contatos periódicos que o macOS faz com servidores da Apple.

Emprestando um termo batido de 2020 para descrever a situação, esse é o “novo normal” dos sistemas operacionais comerciais. A Microsoft encheu o Windows 10 de telemetria, sistemas móveis se comunicam o tempo todo com servidores centrais mesmo quando não estão em uso (o Android mais que o iOS) e o macOS não é exceção. E, que pesem a desconfiança e o risco à privacidade provocados por algo como o OCSP, ele tem uma função importante e útil, como a Apple descreve em sua documentação.

O gênio ter saído da lâmpada não significa que virou um vale-tudo, ou seja, o Gatekeeper, sistema de segurança em que o OCSP está implementado, pode ser mais transparente. Uma atualização datada desta segunda (16) na referida documentação da Apple trouxe mudanças. De imediato, a Apple parará de registrar os endereços IP e apagará todos os que já foram coletados. Em 2021, mais mudanças serão implementadas:

  • Um novo protocolo criptografado para verificações de certificados de desenvolvedores revogados;
  • Proteções mais robustas contra falhas de servidor; e
  • Uma nova opção aos usuários para desativar essas proteções de segurança.

A Apple, como no “bateria-gate” do iPhone, poderia muito bem ter se antecipado e evitado o desgaste. Ao fim, porém, as propostas de mudanças descritas acima soam a um bom equilíbrio.

Ilustração com uma mãozinha depositando uma moeda em uma caixa com o logo do Manual do Usuário em uma das faces, segurada por dois pares de mãos. Ao redor, moedas com um cifrão no meio flutuando. Fundo alaranjado.

Apoie o Manual do Usuário.
Você ajuda a manter o projeto no ar e ainda recebe recompensas exclusivas. Saiba mais »

Atualização (14h30): Pequenas mudanças na redação indicando que o OCSP é um protocolo aberto, não exclusiva da Apple, e parte do sistema Gatekeeper, que roda no macOS. Agradecimento ao leitor Douglas Caetano pelo toque!

Deixe uma resposta

O seu endereço de e-mail não será publicado. Campos obrigatórios são marcados com *

11 comentários

  1. Não me preocupa. Assim como não me preocupa o Windows. Para mim parece ainda pior a Amazon, Google e Facebook, que por sinal muita gente usa.

  2. Ah, e só pra dar mais info: a apple não “resolveu” o problema com o OCSP. O que ela fez foi aumentar o tempo de cache em que o sistema consulta os servidores. Antes, o tempo de cache era de 5 minutos (se vc abrir o mesmo aplicativo nesse período, ele não checa novamente com os servidores da bigbrother, o sistema usa o ultimo check). O que ela fez foi aumentar esses 5 minutos pra 12 horas, aliviando as consultas ao servidores.
    Na semana passada, inclusive, teve um problema com a assinatura dos certificados da HP e, por isso, várias impressoras não funcionaram.
    É muita loucura compactuar com uma empresa que faz esse tipo de coisa.

  3. Ghedin, apenas uma correção:

    OCSP é um protocolo de Internet padrão e usado para validar certificados de maneira geral, mais comumente usado por navegadores para validar certificados de sites. Vide Wikipedia: https://en.m.wikipedia.org/wiki/Online_Certificate_Status_Protocol

    No caso específico, o artigo do pesquisador dá a entender que a Apple usa esse protocolo para fazer as validações.

    Dito isso, acho que estamos ferrados… 😩

    1. Opa, não sabia que era um protocolo aberto. Faz sentido: em sua documentação, a Apple nem se refere a OCSP; em vez disso, fala em “tecnologia Gatekeeper”, que seria “desenvolvida para garantir que o Mac execute somente software confiável”.

      Fiz um pequeno remendo no texto para refletir seu comentário, Douglas. Obrigado!

  4. Obrigado pelo artigo, Ghedin.
    Não tem jeito pra apple mais. O negócio é sair do “ecosistema” deles o mais rápido possível. Triste, porque eu gosto bastante do meu macbook e usar linux não é lá tão fácil/bonito quanto é no macos. Ter que vender usado na olx é sempre complicado e trabalhoso, mas é o preço que se paga pra ter privacidade.

      1. Apenas uma observação: No Ubuntu, você pode escolher se quer enviar telemetria ou não na instalação do sistema.

        Fora isso, existem várias distros linux que não usam telemetria, como por exemplo: Elementary OS (layout parecido com MacOS), Arch, etc. E se você for mais underground, tem o Tails Linux que é feito pra rodar via pendrive bootável e usa a rede tor e criptografa até o “ctrl c ctrl v”… :)

Do NOT follow this link or you will be banned from the site!