macOS Big Sur memiliki mimpi buruk privasi telemetri sendiri

Pendukung privasi telah mengeluh selama bertahun-tahun tentang telemetri pada Windows 10, memaksa Microsoft untuk membuat sejumlah konsesi untuk memenuhi regulator.

Ternyata salah satu alternatif, beralih ke macOS Apple, mungkin hanya berpindah dari penggorengan ke dalam api.

Insiden baru-baru ini di mana OCSP (Protokol Status Sertifikat Online) Apple kewalahan mengungkapkan kepada pengguna biasa bahwa Apple tahu persis aplikasi mana yang berjalan di laptop macOS Anda. Selama pemadaman parsial, aplikasi sangat lambat untuk diluncurkan atau menolak untuk diluncurkan sama sekali, karena OS kesulitan untuk memeriksa sertifikat aplikasi terhadap daftar pencabutan Apple.

Keamanan Jeffrey Paul menulis bahwa masalah ini hanyalah puncak gunung es. Di macOS Big Sur Apple tidak hanya memiliki kendali atas app mana yang Anda jalankan, tetapi juga:

• komunikasi mengungkapkan alamat IP, lokasi, dan pola penggunaan Anda.
• informasi dikirim dalam bentuk teks biasa, artinya pihak ketiga (misalnya NSA atau firewall Cina) memiliki akses ke informasi yang sama.
• telemetri tidak dapat diblokir, karena macOS Big Sur tidak mengizinkan firewall atau VPN tingkat pengguna mengakses komunikasi sistem.
• PC berbasis ARM baru Apple hanya dapat menjalankan macOS Big Sur, dan tidak dapat diturunkan ke sistem operasi yang tidak terlalu terbebani.

Jeffrey Paul menjelaskan:

Pada versi modern macOS, Anda tidak bisa menyalakan komputer Anda, meluncurkan editor teks atau pembaca e-book, dan menulis atau membaca, tanpa log aktivitas Anda dikirim dan disimpan. Ternyata dalam versi macOS saat ini, OS mengirimkan hash (pengenal unik) ke Apple dari setiap program yang Anda jalankan, saat Anda menjalankannya. Banyak orang tidak menyadari hal ini, karena ini senyap dan tidak terlihat dan gagal secara instan dan anggun saat Anda offline, tetapi hari ini server menjadi sangat lambat dan tidak mencapai jalur kode cepat gagal, dan aplikasi semua orang gagal untuk dibuka jika tersambung ke internet. Karena melakukan ini menggunakan internet, server melihat IP Anda, tentu saja, dan tahu jam berapa permintaan masuk. Alamat IP memungkinkan geolokasi kasar, tingkat kota dan tingkat ISP, dan memungkinkan untuk tabel yang memiliki judul berikut: Tanggal, Waktu, Komputer, ISP, Kota, Negara Bagian, Hash Aplikasi; Apple (atau siapa pun) tentu saja dapat menghitung hash ini untuk program umum: semua yang ada di App Store, Creative Cloud, Tor Browser, alat cracking atau reverse engineering, apa pun.

Artinya Apple tahu saat Anda berada di rumah. Saat Anda sedang bekerja. Aplikasi apa yang Anda buka di sana, dan seberapa sering. Mereka tahu saat Anda membuka Tayang Perdana di rumah teman melalui Wi-Fi mereka, dan mereka tahu saat Anda membuka Tor Browser di hotel dalam perjalanan ke kota lain. "Siapa peduli?" Saya mendengar Anda bertanya. Bukan hanya Apple. Informasi ini tidak tetap bersama mereka: Permintaan OCSP ini dikirim tanpa enkripsi. Setiap orang yang dapat melihat jaringan dapat melihat ini, termasuk ISP Anda dan siapa saja yang telah menyadap kabel mereka. Permintaan ini masuk ke CDN pihak ketiga yang dijalankan oleh perusahaan lain, Akamai. Sejak Oktober 2012, Apple adalah mitra dalam program mata-mata PRISM komunitas intelijen militer AS, yang memberikan akses tak terbatas kepada polisi federal AS dan militer ke data ini tanpa surat perintah, kapan pun mereka memintanya. Pada paruh pertama tahun 2019 mereka melakukan ini lebih dari 18,000 kali, dan 17,500+ kali lagi pada paruh kedua tahun 2019.

Data ini merupakan kumpulan data yang luar biasa tentang kehidupan dan kebiasaan Anda, dan memungkinkan seseorang yang memiliki semua itu untuk mengidentifikasi gerakan dan pola aktivitas Anda. Bagi sebagian orang, ini bahkan dapat menimbulkan bahaya fisik bagi mereka. Sekarang, masih mungkin hingga hari ini untuk memblokir hal-hal semacam ini di Mac Anda menggunakan program bernama Little Snitch (sungguh, satu-satunya hal yang membuat saya tetap menggunakan macOS pada saat ini). Dalam konfigurasi default, selimut memungkinkan semua komunikasi komputer-ke-Apple ini, tetapi Anda dapat menonaktifkan aturan default tersebut dan melanjutkan untuk menyetujui atau menolak setiap koneksi ini, dan komputer Anda akan terus berfungsi dengan baik tanpa mengadu kepada Anda. Apel. Versi macOS yang dirilis hari ini, 11.0, juga dikenal sebagai Big Sur, memiliki API baru yang mencegah Little Snitch bekerja dengan cara yang sama. API baru tidak mengizinkan Little Snitch untuk memeriksa atau memblokir proses level OS apa pun. Selain itu, aturan baru di macOS 11 bahkan membuat VPN pincang sehingga aplikasi Apple akan melewatinya begitu saja.

Lois Rossman menjelaskan masalah ini dengan fasih dalam videonya di bawah ini:

Apple menanggapi kehebohan itu dengan mengatakan:

Penjaga gerbang melakukan pemeriksaan online untuk memverifikasi apakah suatu aplikasi berisi malware yang dikenal dan apakah sertifikat penandatanganan pengembang dicabut. Kami tidak pernah menggabungkan data dari pemeriksaan ini dengan informasi tentang pengguna Apple atau perangkat mereka. Kami tidak menggunakan data dari pemeriksaan ini untuk mempelajari apa yang diluncurkan atau dijalankan oleh setiap pengguna di perangkat mereka.

Notaris memeriksa apakah aplikasi berisi malware yang diketahui menggunakan koneksi terenkripsi yang tahan terhadap kegagalan server.

Pemeriksaan keamanan ini tidak pernah menyertakan ID Apple pengguna atau identitas perangkat mereka. Untuk lebih melindungi privasi, kami telah berhenti mencatat alamat IP yang terkait dengan pemeriksaan sertifikat ID Pengembang, dan kami akan memastikan bahwa setiap alamat IP yang dikumpulkan dihapus dari log.

Berita itu membuat lelucon tentang klaim Apple untuk mengutamakan privasi pengguna. Apakah pembaca kami setuju? Beri tahu kami di bawah.

Terima kasih, Tuan Listrik untuk tipnya.