Tips

  • Los usuarios de Apple informaron de ordenadores lentos y sin capacidad de respuesta el 12 de noviembre, el mismo día en que se lanzó el nuevo sistema operativo de Mac.
  • Los servidores de Apple fueron aparentemente inundados con solicitudes de computadoras individuales.
  • La falla del servidor puso de manifiesto una laguna de privacidad, por la cual los datos no codificados podían ser vistos por partes externas.

Ese sonido que escuchaste el jueves al mediodía fue el gemido colectivo de un millón de usuarios de Mac reiniciando sus computadoras suuuuuper lentamente mientras Apple luchaba con una aparente interrupción del servidor.

La ralentización coincidió (casualmente o no) con el lanzamiento del nuevo sistema operativo de Apple, Big Sur, pero los usuarios de Mac que aún no habían instalado el último sistema operativo con temática californiana también tuvieron problemas para que sus aplicaciones funcionaran correctamente.

Irónicamente, aunque Apple se inclina por la retórica pro-privacidad y Big Sur afirma que aporta mejoras en la privacidad, el incidente puso de relieve un problema mayor sobre los datos no encriptados.

Según el desarrollador de Mac, Jeff Johnson, los Macs no podían conectarse a un servidor relacionado con el protocolo de estado de certificados en línea (OCSP), que se utiliza para asegurarse de que un certificado digital es válido. Los servidores de Apple no pudieron mantenerse al día con las solicitudes de los servidores.

En un resumen, el investigador de seguridad Jeffrey Paul dijo que el fallo de ayer expuso un problema de privacidad que ya existía:

"Resulta que en la versión actual del MacOS, el sistema operativo envía a Apple un hash (identificador único) de todos y cada uno de los programas que ejecutas, cuando lo ejecutas. Mucha gente no se dio cuenta de esto, porque es silencioso e invisible y falla instantánea y elegantemente cuando estás desconectado, pero hoy el servidor se volvió muy lento y no pasó por la ruta del código de falla rápida, y las aplicaciones de todos fallaron al abrirse si estaban conectadas a Internet".

Así que, cuando estás en línea, Apple sabe qué aplicaciones estás usando. Además, envía solicitudes OSCP no encriptadas, que los proveedores de servicios de Internet pueden ver. (Decrypt se comunicó con Apple para pedirle un comentario, pero aún no ha recibido una respuesta).

Matthew Hardeman, un desarrollador de software e ingeniero de redes, le dijo a Decrypt, "Cada Mac que ejecuta los últimos lanzamientos de macOS envía consultas OCSP a Apple, al menos en las configuraciones predeterminadas".

A través de su sistema Gatekeeper, "macOS está comprobando prospectivamente, cuando intentas lanzar una aplicación, para ver si Apple ha dudado de su evaluación de la seguridad del software que estás intentando lanzar".

Esto trae consigo varias preocupaciones de privacidad. En primer lugar, como tu ordenador tiene que enviar tu IP para comunicarse con Apple, significa que Apple puede ver tu dirección IP y la aplicación que intentas usar.

Segundo, OCSP usa comunicaciones HTTP no encriptadas, así que "cualquier entidad con visibilidad para tu computadora basada en MacOS también podría observar y/o registrar estos hechos". Aunque dijo que en la mayoría de las circunstancias no es una preocupación importante, Hardeman le dijo a Decrypt, "Creo que probablemente a todos les disgusta que terceros puedan observar que estás lanzando una aplicación y que puedan ser capaces de discernir qué aplicación".

A juzgar por la reacción al artículo de Paul en Crypto Twitter, era en efecto una preocupación:

 

 

Hardeman dio a entender que Apple está usando más o menos un protocolo estándar de la industria como se supone que debe ser usado - y que la mayoría de la gente se beneficia de ello.

Sin embargo, llamó a Apple para que arregle los errores que "resultaron en todos los gritos de ayer". Además, si Apple está tan dedicada a la privacidad como dice que está, el estándar ya no será lo suficientemente bueno.