セキュリティ

20年ぶりに大型アップデートを果たした「macOS Big Sur」はアプリケーションの起動ログを本当に外部に送信しているのか?


2020年11月13日、Mac向けOSのバージョン11.0となる「macOS Big Sur」の配信が開始されました。macOS Big SurはMac OS X以来の大型アップデートと位置づけられていましたが不具合が多数報告されており、デジタル証明書に関するプロトコル「Online Certificate Status Protocol(OCSP)」がプライバシーの議論を招いています。

Does Apple really log every app you run? A technical look – Jacopo Jannone - blog
https://blog.jacopo.io/en/post/apple-ocsp/

macOS Big Sur telling Apple what app you've opened isn't a security or privacy issue | AppleInsider
https://appleinsider.com/articles/20/11/15/big-sur-telling-apple-what-app-youve-opened-isnt-a-security-or-privacy-issue

OCSPは、アプリを起動する直前に開発者証明書が失効していないことを確認するプロトコルです。このOCSPは、Big Surのリリース時に発生した「Big SurだけでなくCatalinaやMojaveなどの他のバージョンのmacOSの動作の低速化を引き起こす」という問題の原因だとされたことから、にわかに注目が集まるという事態が生じました。

Mac向けの最新OS「macOS Big Sur」の公開でBig Sur以外のOSまで低速化する事態に - GIGAZINE


OCSPに対して注目が集まる中、「アプリケーションの起動のたびに、『どのアプリケーションを起動したか』などの情報がOCSPを介してAppleに送信されている」と主張が登場しました。この主張を行ったセキュリティ研究者のジェフリー・ポール氏は、OCSPはHTTPのデータ通信を平文で行っていることから、これらの情報は誰でも盗み見ることが可能である上、アメリカ国家安全保障局(NSA)が実施する大規模監視プログラム「PRISM」にAppleが2012年10月から関与していることから、「プライバシー上の問題がある」と言い立てました。

Jeffrey Paul: Your Computer Isn't Yours
https://sneak.berlin/20201112/your-computer-isnt-yours/


ポール氏の主張は大きな注目を集めましたが、複数のニュースメディアが「少なくともどのアプリケーションを起動したかの情報は送信されない」という反論を掲載しています。セキュリティエンジニアのJacopo Jannone氏は、実際にAppleに対して送信されるOCSPリクエストを取得するという実験を行うことで、送信されたOCSPリクエストの中に個人情報が含まれていないことを立証しています。実際にMacでFirefoxを起動すると送信されるX.509証明書をOpenSSLで抽出した情報が以下。

openssl x509 -inform der -in codesign0 -text

Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 488521955867797808 (0x6c794216c7aa930)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=Developer ID Certification Authority, OU=Apple Certification Authority, O=Apple Inc., C=US
        Validity
            Not Before: May  8 19:08:58 2017 GMT
            Not After : May  9 19:08:58 2022 GMT
        Subject: UID=43AQ936H96, CN=Developer ID Application: Mozilla Corporation (43AQ936H96), OU=43AQ936H96, O=Mozilla Corporation, C=US
        ...


Firefoxと同じMozilla製の電子メールクライアントのThunderbirdを起動した際に送信される証明書から抽出された情報が以下。

codesign -d --extract-certificates /Applications/Thunderbird.app

openssl x509 -inform der -in codesign0 -text
Certificate:
    Data:
        Version: 3 (0x2)
        Serial Number: 488521955867797808 (0x6c794216c7aa930)
    Signature Algorithm: sha256WithRSAEncryption
        Issuer: CN=Developer ID Certification Authority, OU=Apple Certification Authority, O=Apple Inc., C=US
        Validity
            Not Before: May  8 19:08:58 2017 GMT
            Not After : May  9 19:08:58 2022 GMT
        Subject: UID=43AQ936H96, CN=Developer ID Application: Mozilla Corporation (43AQ936H96), OU=43AQ936H96, O=Mozilla Corporation, C=US
        ...


これらの情報が完全に一致していることから、「どのアプリケーションを起動したか」といった情報は判別不可能だとわかります。Jannone氏は「macOSはあくまで開発者証明書に関する不透明な情報を送信するだけで、少なくとも起動されたアプリケーションについての情報は収集していない」と指摘。Apple系ニュースサイトのAppleInsiderも同様の指摘を行った上で、「Skypeの通話が使用する23399番ポートのように、アプリケーションごとに固有のポートを監視したほうが有意義」と述べています。


一方で、Big Surがさまざまな問題を抱えている点は事実。Big Surには「Apple製アプリの通信がファイヤウォールなどで制御されなくなる」という仕様が存在するため、この仕様を利用してファイヤウォールをすり抜けるマルウェアが登場するだろうと予想されています。

macOS Big SurからはApple製アプリの通信をファイアウォールで制御できないことが判明 - GIGAZINE


また、2013年~2014年製の13インチのMacBookProは、Big Surにアップデートすることでマシンが起動しなくなり「文鎮化」するという不具合も多数報告されています。

macOS Big Sur Update Bricking Some Older MacBook Pro Models - MacRumors
https://www.macrumors.com/2020/11/15/macos-big-sur-update-bricking-some-macbook-pros/

・つづき
macOS Big Surの「Apple製アプリのファイアウォールすり抜け問題」を回避できるVPNが登場 - GIGAZINE

この記事のタイトルとURLをコピーする

・関連記事
Mac向けOSの最新版「macOS Big Sur」が発表、UI刷新でよりiOS・iPadOSライクな見た目に - GIGAZINE

1997年に登場したMac OS 8をエミュレートできる「macintosh.js」が登場 - GIGAZINE

Appleの脆弱性報奨金プログラムへ送られた脆弱性が半年間も未修正であると判明、発見者は「失望した」としてゼロデイ脆弱性を公開 - GIGAZINE

in ソフトウェア,   セキュリティ, Posted by log1k_iy

You can read the machine translated English article here.