Vários leitores me indicaram este post do pesquisador Jeffrey Paul em que ele cita o OCSP, um protocolo usado pelo sistema de segurança do macOS chamado Gatekeeper que se comunica periodicamente com servidores da Apple. Para Jeffrey, o uso do OCSP representa uma falha grave de privacidade porque os envios não são criptografados e revelam quais apps cada usuário executa em seu computador.
O OCSP atua no macOS desde a versão Mojave, de 2017, e, como o nome indica (é uma sigla para Online Certificate Status Protocol), serve para verificar se um app que o usuário deseja rodar usa certificados válidos. A Apple pode e sempre revoga certificados usados por apps comprometidos, vírus e outras ameaças, impedindo-os de serem executados e causarem danos ao computador. O OCSP é, pois, um recurso de segurança que não havia chamado a atenção (ver aqui e aqui). Chamou agora por dois motivos:
- Na noite da última quinta (12), os servidores da Apple que fazem a verificação do OCSP ficaram muito lentos, talvez por sobrecarga. O macOS tem uma condicional para ignorar a verificação caso esses servidores estejam inacessíveis, mas como eles estavam acessíveis, só que muito lentos, o sistema manteve a verificação, que — você adivinhou — ficou bem lenta, a ponto de prejudicar o uso do computador.
- No macOS Big Sur, lançado no mesmo dia, o serviço responsável pelo OCSP e alguns outros relacionados a aplicativos da própria Apple foram “escondidos” do usuário, de modo que apps de monitoramento do tráfego/firewalls, como o Little Snitch, não conseguem mais barrar esses contatos periódicos que o macOS faz com servidores da Apple.
Emprestando um termo batido de 2020 para descrever a situação, esse é o “novo normal” dos sistemas operacionais comerciais. A Microsoft encheu o Windows 10 de telemetria, sistemas móveis se comunicam o tempo todo com servidores centrais mesmo quando não estão em uso (o Android mais que o iOS) e o macOS não é exceção. E, que pesem a desconfiança e o risco à privacidade provocados por algo como o OCSP, ele tem uma função importante e útil, como a Apple descreve em sua documentação.
O gênio ter saído da lâmpada não significa que virou um vale-tudo, ou seja, o Gatekeeper, sistema de segurança em que o OCSP está implementado, pode ser mais transparente. Uma atualização datada desta segunda (16) na referida documentação da Apple trouxe mudanças. De imediato, a Apple parará de registrar os endereços IP e apagará todos os que já foram coletados. Em 2021, mais mudanças serão implementadas:
- Um novo protocolo criptografado para verificações de certificados de desenvolvedores revogados;
- Proteções mais robustas contra falhas de servidor; e
- Uma nova opção aos usuários para desativar essas proteções de segurança.
A Apple, como no “bateria-gate” do iPhone, poderia muito bem ter se antecipado e evitado o desgaste. Ao fim, porém, as propostas de mudanças descritas acima soam a um bom equilíbrio.
Atualização (14h30): Pequenas mudanças na redação indicando que o OCSP é um protocolo aberto, não exclusiva da Apple, e parte do sistema Gatekeeper, que roda no macOS. Agradecimento ao leitor Douglas Caetano pelo toque!