苹果为新版macOS的安全漏洞和侵犯隐私的指控进行辩护。争议始于该平台最新版本Big Sur的一个缺陷,在打开其他开发者的应用时,给用户带来了很多问题。
针对这一事件,安全研究员Jeffry Paul发表了一篇题为《你的电脑不是你的电脑》的文章,指责苹果在其功能中保留并未加密用户的登录信息,这应该可以防止恶意软件入侵。
按照Paul的说法,问题显然出在gateway上,gateway是一种安全功能,可以对任何命令进行身份验证,以打开操作系统中的应用程序,确保其安全性。
该公司将在本次证书验证过程中通过OCSP(在线证书状态协议)发送大量信息——全部未加密,数据量异常,意味着大规模隐私泄露,进一步破坏Big Sur故障。
然而,并不是所有研究人员的指控都在进行。据该公司称,网守确实在用户的机器和他们的服务器之间共享信息,但它们只包含正常运行所需的基本身份验证数据。
苹果还表示,将重新评估该服务的工作方式,对交换的信息进行加密,并让不满的用户禁用连接,尽管出于安全原因,不建议这样做。她还承诺进行改进,以避免再次超载。
其他研究人员,如雅格布贾农也详细阐述了这种情况,从而简化了OCSP的使用。专家的文字(英文)概述了情况,至少可以部分安抚社区。