Voldsom debat: Løber Apple fra sit privatlivsløfte, når de sikkerhedstjekker dine apps?

Mange Mac-brugere oplevede i sidste uge ikke at kunne åbne deres apps. Fejlen har medført stor debat om måden Apple tjekker apps mod malware, og firmaet strammer nu op på flere procedurer.

Voldsom debat: Løber Apple fra sit privatlivsløfte, når de sikkerhedstjekker dine apps?

1. Apple afviser: Vi indsamler ikke oplysninger om, hvilke apps du bruger

Apple lancerede i sidste uge det nye styresystem til sine bærbare og stationære computere, MacOS 11, også kendt som Big Sur.

Men det var bestemt ikke en lancering uden problemer. Mange brugere blev mødt af fejlmeddelelser, når de forsøgte at installere opdateringen. Mere overraskende, så oplevede mange, der ikke havde opdateret deres styresystem, at de ikke kunne åbne apps på deres computere.

I løbet af de seneste dage er vi så blevet klogere på, hvad problemet skyldtes, og det har fået flere folk op i det røde felt med beskyldninger om, at Apple handler i direkte strid med de privatlivsværdier, som firmaet ofte bryster sig af.

Fejlen relaterer sig til en teknologi, Apple kalder Gatekeeper, og som ifølge Apple er designet til at verificere, at de apps, du installerer, ikke er malware.

Kort fortalt sammenligner Apple et ID fra den app der er installeret på din computer, med et ID der relaterer sig til den pågældende appudvikler. Er der et match, så er appen verificeret, og du kan åbne den uden problemer.

Det der skete i sidste uge var, at den server, der skulle verificere, at de to ID’er matcher, kørte vanvittigt langsomt. Når appen på den enkelte brugers computer derfor ikke fik et svar fra serveren, så kunne brugerne ikke få lov at åbne apps på deres egen computer — apps de vel at mærke har købt og betalt for.

Det fik sikkerhedsforsker Jeffrey Paul til at skrive et harmdirrende blogindlæg med titlen "Your Computer Isn't Yours", som hurtigt bredte sig på de sociale medier.

Jeffrey Paul skriver blandt andet:

“På moderne versioner af macOS kan du simpelthen ikke tænde for din computer, starte et tekstbehandlingsprogram eller en ebogs-læser og skrive eller læse, uden at en log over din aktivitet overføres og gemmes.”

Paul går endnu videre i sin kritik af de nye Mac-computere, dem som kommer med Apples egen Apple Silicon-chip, som kun kan køre det nyeste MacOS 11. På disse kan man ifølge Jeffrey Paul ikke slå Gatekeeper-funktionen fra — den der sammenligner de to ID’er.

Sikkerhedsforskeren anklager herefter Apple for at indsamle data om dig, hver gang du åbner en app, blandt andet fordi brugerens IP-adresse er en del af den tekststreng, der overføres — altså i direkte modstrid med firmaets privatlivsløfte.

“Det betyder, at Apple ved, hvornår du er hjemme. Når du er på arbejde. Hvilke apps du åbner der, og hvor ofte,” skriver han.

I lørdags kom så et modsvar fra en cybersikkerheds-studerende ved navn Jacopo Jannone, som blandt andet testede om Jeffrey Pauls sidste påstand holdt vand.

I sit blogindlæg “Does Apple really log every app you run? A technical look” konkluderer han, at det ikke er tilfældet.

Først og fremmest viser Jannones gennemgang, at det langt fra er hver gang, du åbner en app, at appens ID bliver verificeret. Det sker første gang du åbner den, og muligvis igen, hvis du ikke har åbnet appen et stykke tid.

Han afviser dermed, at Apple følger med i, hver gang du åbner en app.

Ligeså konkluderer Jacopo Jannone, at ID-tjekket ikke er relateret til, hvilken app du bruger, men kun til det firma, der har lavet appen. Som eksempel viser han, at når han trækker den tekst ud, som sendes om henholdsvis Firefox-browseren og email-klienten Thunderbird, så fremgår det blot, at begge apps er udviklet af Mozilla.

Spørgsmålet er så, om det er godt nok.

Aktivist og forfatter Cory Doctorow skriver i en længere tråd på Twitter, at han mener, der flere klare problemer med Apples tilgang.

Blandt andet pointerer han, at Apple kan afvise en hvilken som helst app, blot ved at lade være med at acceptere deres certifikat. Han kritiserer blandt andet også Apple for, at ID-tjekket bliver sendt i klar tekst.

Ovenstående kan i særdeleshed være problematisk for aktivister og folk der er i opposition til magthavere i mindre demokratiske lande, hvis de ikke kan få lov at installere fx VPN-apps, der gør, at de kan kommunikere sikkert og få adgang til informationer, som myndighederne ikke tillader — fx i Kina.

Efter flere dages tavshed om miseren har Apple nu responderet på sin egen stilfærdige måde.

På en supportside, der netop relaterer sig til Gatekeeper funktionen, skriver Apple, at de aldrig har inkluderet brugernes Apple ID eller andre former for identifikation om den pågældende computer.

“Gatekeeper udfører onlinetjek for at verificere, om en app indeholder kendt malware, og om udviklerens signeringscertifikat er trukket tilbage. Vi har aldrig kombineret data fra disse kontroller med oplysninger om Apple-brugere eller deres enheder. Vi bruger ikke data fra disse tjek til at lære, hvad individuelle brugere åbner eller kører på deres enheder”, skriver Apple.

Dog erkender computerfirmaet, at der plads til forbedring, og de vil derfor i løbet af det næste år foretage flere centrale ændringer.

Apple skriver, at de med øjeblikkelig virkning er stoppet med at logge IP-adresser og vil fjerne de IP-adresser, der tidligere er blevet logget (jævnfør Jeffrey Pauls kritik).

Desuden vil de udvikle en større sikring mod at deres Gatekeeper-server kan gå ned, som var det, der fik hele denne historie til at rulle. Dernæst vil de udvikle en krypteret protokol for de omtalte ID-tjek, som nu foregår som klar tekst.

Måske vigtigst af alt, så vil de gøre det muligt for brugeren helt at fravælge denne form for sikkerhedskontrol, så man altså snart kan installere en hvilken som helst app, uden at den bliver tjekket for malware.

Et tip herfra skal lyde: Tænk dig godt om, inden du slår Gatekeeper-funktionen fra, medmindre du har rigtig gode grunde til at gøre det.


2. Smittestop-app i nye vanskeligheder: Sender for mange beskeder ud

Smittestop-app’en har haft en temmelig hård fødsel. Det er ikke mange uger siden, at det viste sig, at alt for få mennesker fik besked via appen, hvis de havde været i nærheden af en Corona-smittet .

Derfor blev Smittestop-appen tilrettet og en ny version sendt ud. Men tilsyneladende er der blevet skruet for meget på håndtaget.

I hvert fald anbefaler Favrskov Kommune nu alle medarbejdere, at slukke for appen, mens de er på arbejde.

Det sker fordi, for mange af kommunens ansatte får besked om, at de har været i nærheden af en Corona-smittet og derfor efterfølgende skal testes og blive hjemme, indtil de har fået svar.

TV2 Østjylland rapporterer om en helt konkret sag i Favrskov Kommune, hvor 30 medarbejdere deltog i en konference, og 17 personer efterfølgende fik besked om at de havde været i nærheden af en Corona-smittet. Ingen af dem bleve efterfølgende testet positive.

Ifølge kommunen var det kun to af de sytten personer, der var i umiddelbar nærhed af den smittede person. Kommunaldirektør Jan Kallestrup siger til TV2, at der var rigelig afstand mellem pladserne, når folk sad ned, og at alle bar mundbind, når de ikke gjorde det.

Flere eksperter advarer dog mod, at slukke appen, medmindre der er særligt gode grunde til det. Det kunne fx være, at man arbejder med Covid-19 patienter så man derfor ikke kan undgå, at ens telefon vil advare om at man har været i nærheden af en smittet.


3. SpaceX-raket på vej mod ISS indvarsler ny æra for kommerciel rumfart

Fire astronauter blev søndag sendt afsted i en raket fra SpaceX med kurs mod den internationale rumstation (ISS) og med forventet ankomst senere i dag.

Men i modsætning til den første SpaceX-raket der havde ISS som destination, som blev opsendt i foråret, så er der denne gang ikke tale om en test, men om en regulær kommerciel, operationel mission.

Ifølge Phil McAlister, som er director of commercial spaceflight development hos NASA, så er det en game changer:

“For første gang i historien er der en kommerciel mulighed fra den private sektor, der sikkert og pålideligt kan transportere folk til rummet,” siger han i et telefoninterview med en række medier, heriblandt New York Times.

Opsendelsen betød i øvrigt at den japanske astronaut ombord, Soichi Noguchi, blev den blot tredje astronaut, der er blevet sendt ud i rummet i tre forskellige rumfartøjer.

SpaceX-stifter Elon Musk måtte nøjes med at følge raketopsendelsen hjemmefra, da han ifølge sig selv “sandsynligvis har en mild udgave af Covid-19”.

Ja Elon, måske bare en lille smule.


LINKS TIL LÆSEHESTE

Slut i 2030: Storbritannien vil fremrykke forbud mod salg af benzin- og dieselbiler med ti år. Hybridbiler skal ud i 2035

Would UK be ready for a new petrol car ban in 2030?
The BBC understands the government is set to announce it will bring 2040′s ban forward by a decade.

Vender på en tallerken: Ford vil producere egne elbils-batterier

Ford CEO says carmaker now eyes making own EV batteries
Ford Motor Co <F.N> has reversed course and is now considering making its own battery cells as sales volumes of electric vehicles rise around the world, the automaker’s top executive said on Friday.

Fuldt fokus på foldbare telefoner: Samsung dropper muligvis næste års Galaxy Note

Samsung may kill the Galaxy Note series to focus on foldables next year
According to a new rumor, Samsung may finally discontinue its Galaxy Note series next year. Leaker Ice Universe says there is currently no evidence that suggests the company is working on the Galaxy Note 21 series.

Ny frist for TikTok før forbud: Salg af TikToks amerikanske aktiviteter skal godkendes senest 27. november.

TikTok granted two more weeks to reach a deal for US business
President Donald Trump gave his blessing to a deal that would give Oracle and Walmart a combined 20% stake in a new company called TikTok Global, but questions around security remain. CNN’s Selina Wang reports.

Følg Techliv — og del med dem du kender...

Følg Techliv på Twitter og Facebook, og del gerne dette nyhedsbrev med folk du kender.

0 Kommentarer
Loading...
You've successfully subscribed to Techliv
Perfekt! Hvis du vil have adgang til alt indhold på Techliv, skal du vælge et abonnement.
Velkommen tilbage! Du er nu logget ind på din konto.
Velkommen! Din konto er nu fuldt aktiveret, og du har adgang til alt indhold.