[11 Big Sur] Ein düsteres Bild - berechtigte Kritik?

[FritzS]

Ein düsteres Bild, das da im Netz kursiert.
Ist diese Kritik berechtigt?
Ich bin da skeptisch, wenn ein OS „nach Hause telefoniert“ und man weiß nicht wann und warum? Und man kann dies nicht am Rechner selbst feststellen! Vermutlich nicht einmal mit wireshark (gibt es dazu schon Hinweise, hat das schon hier schon Jemand getestet)?
Reiht sich Apple nun in die Riege zu Microsoft ein? Windows „plappert“ ja auch „nach Hause“.
Was denkt Ihr dazu?

„Dein Computer gehört nicht dir“: MacOS Big Sur soll private Daten an Apple schicken (wurde über XING verteilt)

"Dein Computer gehört nicht dir": MacOS Big Sur soll private Daten an Apple schicken

Das neue Apple MacOs "Big Sur" soll laut Jeffrey Paul für jedes Programm, das gestartet wird, eine eindeutige Kennung senden.

www.trendingtopics.at

Das neue MacOs „Big Sur“ soll für jedes Programm, das gestartet wird, eine eindeutige Kennung senden. Das behauptet der Berliner Hacker und Sicherheitsforscher Jeffrey Paul. Apple bekommt damit Zugriff auf jede Menge privater Daten – und soll diese auch nicht unbedingt für sich behalten.

Jeffrey Paul - Your Computer Isn't Yours - 12 November 2020

Jeffrey Paul: Your Computer Isn't Yours

 

[tkreutz]

"... Apple bekommt damit Zugriff auf jede Menge privater Daten...." Unabhängig der generellen Datenschutzdebatte stelle ich mir immer die Frage, mit welcher Manpower die Millionen von Daten denn nun ausgewertet und in irgend was "verwertbares" umgewandelt werden sollen.

Wird die globale Wirtschaft Billionen mehr verdienen, wenn Lischen Müller's Einkaufspräferenzen und Social Profiling transparent wird bei gleichzeitiger Corona-Bedingter-Einschränkungen ?

Die Bilder der ganzen Autos auf Halde, die nicht gekauft werden können, weil seit der Euro-Einführung jeder von Gehaltsverdoppelung und Verdreifachung plötzlich nicht mehr weiß, wohin mit der ganzen Kaufkraft, spiegelt doch deutlich die selbst verschuldete Schieflage aus gesellschaftlich kritischer Sicht wider. Der Blick über den großen Teich in die eine oder andere Richtung, dürfte daran auch wenig ändern.

Was man aber sagen kann ist, dass das Bedrohungsszenario in den letzten Jahren spürbar zugenommen hat im Bereich Cyber-Crime. Bleibt die Frage offen, wer denn nun davon profitiert und ob es einen wirksamen Schutz außerhalb von Bildung und Sensibilisierung geben kann.

Wem nützen eigentlich zahlreiche Einstellmöglichkeiten in Sachen Schutz von Privacy Daten, wenn Ottonormalverbraucher schon beim Starten des Sendersuchlaufs scheitert.

 

[NorbertM]

Ich lese da nur Mutmaßungen.

 

[Wuchtbrumme]

reißerischer Blabla, erschreckend, dass der Mann sich dafür hergibt, eigentlich wäre er in der Lage sich korrekt zu informieren. Nur im Ansatz kann ich dem zustimmen.

 

[ottomane]

Jeffrey Paul - Your Computer Isn't Yours - 12 November 2020

Es wurde bereits technisch widerlegt, dass die Behauptungen so nicht durchgehend stimmen. Es waren eben nur Vermutungen. Leider finde ich den Artikel nicht mehr, aber ich hatte ihn schon hier im Forum gepostet.

 

[giesbert]

Unabhängig der generellen Datenschutzdebatte stelle ich mir immer die Frage, mit welcher Manpower die Millionen von Daten denn nun ausgewertet und in irgend was "verwertbares" umgewandelt werden sollen.

Das könntest du mal Google fragen, die kennen sich damit aus

Ad rem: Ich hab das jetzt nur überflogen, aber da scheint ein kapitales Missverständnis darüber vorzuliegen, was da tatsächlich passiert, wie die Gültigkeitsprüfung eines Zertifiktas via OCSP funktioniert und was das soll. Anders gesagt: Der Artikel ist kompletter Unfug.

Dazu auch: Does Apple really log every app you run? A technical look
(Spoiler: Nein, macht Apple natürlich nicht )

 

[ottomane]

Genau den Artikel meinte ich. Danke.

 

[helge]

Die Anmerkung

wurde über XING verteilt

sagt doch schon alles.

 

[FritzS]

Die Anmerkung sagt doch schon alles.

Was hat das mit XING zu tun? Diesen Artikel findet man auch so im Netz.

Auch Heise schlägt ähnliche Töne an:

Firewall-Umgehung in macOS 11: Malware kann Apples Ausschlussliste missbrauchen
Apple-Dienste bleiben für lokale Firewalls in macOS 11 unsichtbar. Auch Malware könne so nach Hause telefonieren, warnt ein Sicherheitsforscher.

Firewall-Umgehung in macOS 11: Malware kann Apples Ausschlussliste missbrauchen

Apple-Dienste bleiben für lokale Firewalls in macOS 11 unsichtbar. Auch Malware könne so nach Hause telefonieren, warnt ein Sicherheitsforscher.

www.heise.de

macOS 11: Apple verbirgt eigene Dienste vor Mac-Netzwerkfiltern
Mac-Nutzer können bald nicht mehr lokal kontrollieren, ob Apple-Apps nach Hause telefonieren, warnen Entwickler. Auch Datenspar-Tools bekommen Probleme.

macOS 11: Apple verbirgt eigene Dienste vor Mac-Netzwerkfiltern

Mac-Nutzer können bald nicht mehr lokal kontrollieren, ob Apple-Apps nach Hause telefonieren, warnen Entwickler. Auch Datenspar-Tools bekommen Probleme.

www.heise.de

Es wurde bereits technisch widerlegt, dass die Behauptungen so nicht durchgehend stimmen. Es waren eben nur Vermutungen. Leider finde ich den Artikel nicht mehr, aber ich hatte ihn schon hier im Forum gepostet.

Diese Widerlegung würde mich schon interessieren.

Trotzdem finde ich es für gut und richtig, dass dies im Netz kritisch beobachtet und hinterfragt wird!

 

[Wuchtbrumme]

Gehst Du jetzt alle Kritikpunkte durch?

macOS 11: Apple verbirgt eigene Dienste vor Mac-Netzwerkfiltern

Die Entscheidung, die da offenbar wird, finde ich nicht in Ordnung.

 

[ottomane]

Diese Widerlegung würde mich schon interessieren.

Die ist oben bereits verlinkt von @giesbert.

Ich will das aber nicht pauschal schönreden. Es ist sicher ein Problem, wenn Apple diese Daten zu Hauf sammelt und analysiert. Aber wie sich zeigt, tut Apple das nicht in dem Maße, wie es vermutet wurde. Man sollte da ein Auge drauf halten und muss das differenziert analysieren. Das wurde nicht immer so gemacht.

Die Firewall für eigene Dienste blindzuschalten halte ich allerdings schon für von der Idee her falsch.

 

[frostdiver]

In beiden Artikeln gibt es auch Updates, die aufeinander eingehen
Und auch die Reaktion von Apple und die geplanten Verbesserungen werden erwähnt.

Safely open apps on your Mac - Apple Support

macOS includes a technology called Gatekeeper, that's designed to ensure that only trusted software runs on your Mac.

support.apple.com

(ganz unten auf der Seite)

 

[Marcel Bresink]

Der Artikel ist kompletter Unfug.

Nein, ist er nicht. Er war nur in zwei bestimmten Details ungenau, die schwer zu recherchieren sind, da Apple solche Techniken nicht öffentlich macht und die Einzelheiten nur per Reverse Engineering ermittelt werden können:

- Es stimmt nicht, dass Daten über jeden Programmstart an Apple gesendet werden. Die Internet-Abfrage erfolgt nur in bestimmten Zeitabständen.
- Es stimmt nicht, dass Daten über die genaue Programmversion an Apple gesendet werden. Es lässt sich nur der Hersteller dieses Programms ermitteln. Der Verdacht kam auf, weil die Erfassung der genauen App-Version in bestimmtem Fällen tatsächlich passiert, nämlich wenn man zum ersten Mal ein Programm startet und in dieses Programm Apples Beglaubigungsdatensatz nicht fest eingebaut ist ("Notarization Stapling").

Apple hat ansonsten bereits zugegeben, dass die Daten unter Berücksichtigung dieser Details erfasst wurden und verbotenerweise mit den IP-Adressen des anfragenden Rechners gespeichert wurden. Das dürfte ein Verstoß gegen Europäisches Recht sein.

Wird die globale Wirtschaft Billionen mehr verdienen, wenn Lischen Müller's Einkaufspräferenzen und Social Profiling transparent wird bei gleichzeitiger Corona-Bedingter-Einschränkungen ?

Billionen nicht, aber alleine schon aus der Tatsache, dass Apple über diese Daten abschätzen könnte, wie verbreitet die Software-Produkte bestimmter Hersteller unter den Mac-Usern sind, lässt sich Geld machen. Da Apple auch im Software-Markt tätig ist, kann das noch wettbewerbsrechtlichen Ärger geben.

 

[giesbert]

Es lässt sich nur der Hersteller dieses Programms ermitteln.

Ja, aber das ist doch nur logisch – wenn ein Anbieter-Zertifikat geprüft wird, weiß man natürlich, welchen Anbieter man da prüft. Oder was verstehe ich da jetzt nicht?

Der Artikel behauptet ja, dass ein Hash jeder App geschickt wird, die gestartet wird. Das ist völliger Unfug.

Achja, Apples Statement:

Gatekeeper performs online checks to verify if an app contains known malware and whether the developer’s signing certificate is revoked. We have never combined data from these checks with information about Apple users or their devices. We do not use data from these checks to learn what individual users are launching or running on their devices.

Notarization checks if the app contains known malware using an encrypted connection that is resilient to server failures.

These security checks have never included the user’s Apple ID or the identity of their device. To further protect privacy, we have stopped logging IP addresses associated with Developer ID certificate checks, and we will ensure that any collected IP addresses are removed from logs.

Safely open apps on your Mac - Apple Support

macOS includes a technology called Gatekeeper, that's designed to ensure that only trusted software runs on your Mac.

support.apple.com

 

[Marcel Bresink]

Ja, aber das ist doch nur logisch

Wenn das sogar logisch ist, muss man erst recht fragen, welche rechtlichen Konsequenzen das hat.

Der Artikel behauptet ja, dass ein Hash jeder App geschickt wird, die gestartet wird. Das ist völliger Unfug.

Das hat sich inzwischen so erwiesen. Aber der berechtigte Verdacht bestand aus den Gründen, die ich genannt hatte.

 

[FritzS]

Meine Quintessenz bis hierher: Apple genau auf die Finger schauen und in aller Öffentlichkeit aufzeigen wenn etwas seltsam vorkommt!
Apple wird darauf reagieren müssen und macht es auch.

 

[giesbert]

Wenn das sogar logisch ist, muss man erst recht fragen, welche rechtlichen Konsequenzen das hat.

Wenn ein System überprüfen soll, ob ein Zertifikat noch gültig oder vielleicht zurückgerufen wurde, muss es (üblicherweise) bei der CA nachfragen, die das Zertifikat ausgestellt hat. Dabei muss werden natürlich Daten des Zertifikats übertragen, und die ist bei der CA natürlich mit dem verknüpft, für den das Zertifikat ausgestellt wurde.

Das macht doch auch praktisch jeder Webbrowser, der eine HTTPS-Verbindung zu einem Server aufbaut. Apfeltalk benutzt zB ein Zertifikat von Let's Encrypt. Und die betreiben natürlich einen OCSP-Server:

Many browsers will fetch OCSP from Let’s Encrypt when they load your site. This is a performance and privacy problem. Ideally, connections to your site should not wait for a secondary connection to Let’s Encrypt. Also, OCSP requests tell Let’s Encrypt which sites people are visiting.

Zum angesprochenen "performance and privacy problem": OCSP Stapeling (Wikipedia, dt.)

Rechtliche Konsequenzen scheint es da eher nicht zu geben, andernfalls hätte man darüber schon was gehört / gelesen: Ich kann mir nicht vorstellen, dass der klagefreudige Teil der Menschheit sich das entgehen lassen würde. Aber vielleicht haben die sich noch nicht mit dem Thema beschäftigt.

Anyway: Den im ersten Posting verlinkten Artikel hab ich jetzt noch mal gelesen. Doch, das ist und bleibt größtenteils grober Unfug. Das mit der Firewall-Geschichte kursiert ja auch schon etwas länger, dazu hab ich auch schon technische Analyse gelesen, die das deutlich runterkochen. Aber die find ich jetzt so auf die Schnelle nicht, tendiere aber generell dazu, das – angesichts des Großen Quatsches, den der restliche Artikel bietet – ebenfalls unter "Blödsinn" einzuordnen.

(Mag sein, dass das Original-Posting des Bloggers besser ist, aber das hab ich jetzt nicht gelesen.)

Disclaimer: Zwischen Tür & Angel, ich hab jetzt keine Zeit, dem detaillierter nachzugehen, mag also sein, dass ich hier blühenden Blödsinn schreibe – Trust No One!

 

[FritzS]

@giesbert
Das Original Posting: https://sneak.berlin/20201112/your-computer-isnt-yours/

So ohne weiteres vom Tisch wischen würde ich das nicht - auch Heise schlägt in ähnliche Kerben!
#09

[11 Big Sur] - Ein düsteres Bild - berechtigte Kritik?

Ein düsteres Bild, das da im Netz kursiert. Ist diese Kritik berechtigt? Ich bin da skeptisch, wenn ein OS „nach Hause telefoniert“ und man weiß nicht wann und warum? Und man kann dies nicht am Rechner selbst feststellen! Vermutlich nicht einmal mit wireshark (gibt es dazu schon Hinweise, hat...

www.apfeltalk.de

 

[Marcel Bresink]

Wenn ein System überprüfen soll, ob ein Zertifikat noch gültig oder vielleicht zurückgerufen wurde, muss es (üblicherweise) bei der CA nachfragen, die das Zertifikat ausgestellt hat.

Ja, das weiß hier jeder. Beim Abrufen einer https-gesicherten Webseite ist das selbstverständlich und gehört ja gerade zu deren Funktion.

Beim Starten eines lokalen Programms ist das jedoch überraschend und nicht für den Start des Programms erforderlich. Da Apple bis jetzt auch noch IP-Adressen für jede Abfrage gespeichert hat, ist das ein personenbeziehbarer Vorgang. Der Benutzer hätte vorher darauf aufmerksam gemacht werden und seine Zustimmung geben müssen.

 

[tkreutz]

Billionen nicht, aber alleine schon aus der Tatsache, dass Apple über diese Daten abschätzen könnte, wie verbreitet die Software-Produkte bestimmter Hersteller unter den Mac-Usern sind, lässt sich Geld machen. Da Apple auch im Software-Markt tätig ist, kann das noch wettbewerbsrechtlichen Ärger geben.

Wer sich darüber Gedanken macht, dass Apple weiß, welche Softwareprogramme jeder nutzt, sollte mal darüber nachdenken, was die Hausbank für Einblicke in Kontobewegungen hat und wie heutzutage der gläserne Bürger dort aussieht. Spätestens seit Snowden dürfte es sich mit dem Privatsphäre Thema erledigt haben. (In Sachen öffentlichem Bewusstsein).