苹果公司为新版本的macOS中的安全漏洞和隐私侵犯指控辩护。争议的开始是由于平台的最新版本Big Sur中存在缺陷,该缺陷在打开其他开发人员的应用程序时给用户带来了多个问题。
针对此事件,安全研究员杰弗里·保罗(Jeffry Paul)发表了一篇题为“您的计算机不是您的计算机”的文章,指责苹果公司在功能上应保存并不加密用户的登录信息,而该功能应可以防止恶意软件入侵。
根据Paul的说法,问题显然出在Gatekeeper上,后者是一项安全功能,可对在操作系统中打开应用程序的任何命令进行身份验证以确保其安全。
该公司将在此证书验证过程中通过OCSP(在线证书状态协议)发送大量信息-全部都没有加密且数据量异常,这将意味着大规模的隐私泄露,进一步损害了Big Sur故障。
但是,并非所有研究人员的指控都在进行。据该公司称,Gatekeeper确实确实在用户机器及其服务器之间共享信息,但它们仅包含其正常运行所必需的基本认证数据。
苹果还表示,它将重新评估该服务的工作方式,对交换的信息进行加密,并使心怀不满的用户禁用连接,尽管出于安全原因不建议这样做。她还承诺会进行改进,以免再次发生超载。
Jacopo Jannone等其他研究人员也对此案进行了详细阐述,从而简化了OCSP的使用。专家的文字(英语)提供了有关情况的概述,并应至少部分使社区放心。