苹果用户被拥有

2020-11-15 18:47:58

首席安全官PGP ID:0xB9EF770D6EFE360F指纹:0DFE 2A03 7FEF B6BF C56F73C5 B9EF 770D 6EFE 360F Librem Social。

你会经常听到黑客说他们“拥有”(有时是“盗用”)一台电脑。他们并不是说他们拥有这台电脑,他们的意思是他们已经破坏了这台电脑,并拥有如此深的遥控器,以至于他们可以随心所欲地做任何事情。当黑客拥有一台电脑时,他们可以阻止软件运行,安装他们选择的任何软件,并远程控制硬件-即使违背实际所有者的意愿,而且通常在他们不知情的情况下也是如此。

黑客本能地理解了许多计算机用户不知道的事情--所有权不是占有,而是控制。如果你的公司给了你一台电脑,或者你自己带了一台电脑,但他们可以远程控制你如何使用它,并可以推翻你的意愿,那就是他们的电脑,而不是你的。根据这个定义,今天的大多数手机都属于供应商,而不是用户,正如我在你口袋里的通用电脑中所说的那样:

大型科技公司曾经使用过的最巧妙的伎俩之一就是说服人们,手机不是通用电脑,应该有不同于笔记本电脑或台式机的规则。这些规则方便地给了卖家更多的控制权,这样你就不会拥有一部智能手机,而是租了一部。既然公众已经接受了这些针对手机的新规定,供应商们也开始将同样的规定应用于笔记本电脑和台式机。

本周,苹果向全世界发布了新的MacOS版本“Big Sur”,短暂打破了苹果用户可以控制自己电脑的幻想。用户开始注意到,大约在更新发布的同时,他们在启动本地应用程序时遇到了问题,应用程序卡顿,MacOS本身有时也没有反应--即使用户没有更新到Big Sur。一个新的操作系统发布会以某种方式导致本地应用程序-甚至非苹果应用程序-停滞,这似乎是一个相当奇怪的巧合。

正如这篇Ars Technica文章所描述的,用户能够非常迅速地解决该问题:

没过多久,一些Mac用户就注意到,Trustd试图联系一个名为ocsp.apple.com的主机,但屡次失败。Trustd是一个MacOS进程,负责检查苹果的服务器,以确认某个应用程序已经过公证。这导致了系统范围内的速度变慢,因为应用程序试图启动,以及其他一些事情。

总而言之,每次在MacOS上启动签名的应用程序时,公证服务都会向Apple服务器发送有关该应用程序的信息,以确保签名匹配。如果签名匹配,您的操作系统将允许应用程序启动。当电脑不在线时,检查失败,但它仍然允许应用程序运行,但当电脑在线时,签名是强制的,因为服务启动但速度很慢,应用程序在操作系统等待回复时陷入停滞。

应用程序通常使用代码签名作为用户检测篡改的一种方式。开发人员使用他们的私钥对软件进行签名,用户可以对照公钥测试该签名。只有未更改的软件才会与签名匹配。在自由软件世界中,包括PureOS在内的发行版包括本地计算机上的公钥,软件更新会在应用更新之前自动测试签名是否匹配。以这种方式使用时,您可以在安装应用程序之前对其进行篡改测试,并且用户可以完全控制该过程。

苹果在代码签名方面更进了一步,加入了这项公证服务。任何签署的应用程序-即使是那些不是来自苹果的应用程序-都必须获得远程公证服务的许可才能运行。这意味着苹果不仅知道你安装了哪些应用程序,而且还知道你每次运行它们的时候。在过去,这是一项可选的服务,现在它是强制性的,从Big Sur开始,你不能再使用像Little Snitch这样的工具来阻止这项服务,或者为了一些隐私而通过Tor发送它。苹果(以及任何能嗅到这种明文通信的人)都能知道你何时启动了Tor浏览器或其他隐私工具,或者你多久使用一次竞争对手的应用程序。

虽然我想大多数人会惊讶地发现这一功能,但我也怀疑许多人会以安全的名义接受它。然而,就像苹果的许多功能一样,安全是一个营销术语,真正的动机是控制。虽然代码签名已经让苹果可以控制你是否可以安装或升级软件,但这一功能让苹果可以控制你是否可以运行应用程序。苹果已经在iOS上使用代码签名,将竞争对手的应用程序从App Store中移除,并以安全或隐私的名义远程禁用应用程序。没有理由认为他们不会在MacOS上使用同样的功能,因为它再也无法绕过了。苹果在代码签名、安全飞地和专有芯片方面的最终目标是确保他们销售的硬件的完全控制权--完全所有权。

你应该拥有你买的电脑。无论是黑客还是供应商,都不应该被允许远程拥有你。我们打造安全、尊重隐私和自由的笔记本电脑、台式机、服务器和手机,让您重新掌控一切,并确保当您购买Purism电脑时,您就拥有了它。