Новые функции конфиденциальности и безопасности macOS Ventura

Новые функции конфиденциальности и безопасности macOS Ventura

3 ноября 2022 г.

macOS Ventura была выпущена на этой неделе, и пользователи Apple среди нас могут быть заинтересованы в улучшениях, которые она привносит в вашу личную конфиденциальность и безопасность. Мы всегда рекомендуем использовать самую последнюю доступную версию вашей операционной системы. Обновления постоянно улучшают конфиденциальность и безопасность, и macOS Ventura не является исключением. Некоторые заметные новые дополнения к экосистеме конфиденциальности macOS включают:

  • Режим блокировки
  • Быстрое реагирование службы безопасности
  • Ключи доступа

Давайте рискнем и посмотрим, что эти обновления значат для вас.

Режим блокировки

Главной функцией безопасности Apple для macOS и iOS в этом году стал Режим блокировки, параметр, который позволяет активировать более строгие меры безопасности на вашем устройстве. Разработанный для тех немногих, кто активно подвергается кибератакам, режим блокировки по-прежнему пользуется широким вниманием в сфере конфиденциальности и безопасности как важный инструмент сокращения уязвимой зоны.

Включить режим блокировки можно легко в приложении Системные настройки:

  1. Нажмите Конфиденциальность & Безопасность на боковой панели.
  2. Прокрутите вниз до пункта Режим блокировки и нажмите Включить.
  3. Нажмите Включить & Перезагрузите, чтобы перезапустить устройство в режиме блокировки.

Режим блокировки необходимо включать отдельно на каждом устройстве. Режим блокировки значительно меняет поведение вашего устройства несколькими способами. Стоит попробовать для себя, чтобы увидеть, влияет ли это на ваше повседневное использование. У его включения есть небольшой недостаток, так как его влияние на большинство функций относительно невелико при повседневном использовании.

Сафари

Включение режима блокировки отключает ряд «сложных веб-технологий». Это может повлиять на производительность вашего устройства в Интернете и эффективность работы аккумулятора, в некоторых случаях в значительной степени. Изменения в Safari включают:

  • Функции JIT-компиляции JavaScript отключены. JIT позволяет компилировать код JavaScript на лету во время его выполнения. Отключение JIT показывает снижение производительности до 95% в некоторых тестах браузера, хотя эту разницу трудно заметить при повседневном просмотре. К сожалению, дополнительная производительность и сложность JIT в JavaScript сопряжены с значительными затратами на безопасность. . Анализ, проведенный Mozilla, показывает, что более половины эксплойтов Chrome "в дикой природе " злоупотреблял ошибкой JIT, поэтому отключение JIT может сократить поверхность атаки примерно вдвое.
  • Поддержка WebAssembly (WASM) также отключена. WASM был создан для обеспечения высокопроизводительных приложений на веб-страницах; однако его можно использовать для отпечатков пальцев браузеров, чтобы отслеживать людей на веб-сайтах и ​​в приложениях.
  • Поддержка JPEG 2000 отключена. Safari — единственный современный браузер, поддерживающий формат изображений JPEG 2000, что делает его поддержку простым способом идентификации пользователей Safari.
  • Предварительный просмотр PDF отключен. Формат PDF исторически подвергался ряду уязвимостей; это изменение означает, что файлы PDF будут загружаться и открываться в специальном приложении для предварительного просмотра PDF.

Другие технологии, которые были отключены, включают WebGL, MathML, Gamepad API, Web Audio API. , RTCDataChannel и шрифты SVG. Кроме того, многие другие внешние веб-шрифты отключены, что ограничивает веб-сайты только шрифтами, предварительно установленными на устройстве. В частности, это ломает множество значков на различных веб-сайтах, которые часто заменяются пустым квадратом.

К счастью, режим блокировки можно отключить для каждого сайта в Safari, поэтому ни одна из этих проблем не должна помешать вам включить режим блокировки на вашем устройстве. Если вы столкнулись с доверенным веб-сайтом, который не работает при включенном режиме блокировки, вы можете легко добавить исключение для этого веб-сайта, сохранив при этом остальные средства защиты режима блокировки.

Сервисы Apple

Режим блокировки также изменяет способ использования ряда различных сервисов Apple на вашем устройстве.

  • Сообщения. Блокируется большинство вложений сообщений, за исключением определенных изображений, видео и аудио. Это включает в себя большинство «приложений» iMessage, таких как игры в разговоре. Предварительный просмотр ссылок также отключен.
  • FaceTime: входящие вызовы блокируются, если вы ранее не звонили этому человеку или контакту. Вероятно, это связано с прошлыми ошибками FaceTime, такими как эксплуатация в 2019 году, которая позволил злоумышленнику подслушать ваш микрофон до того, как вы ответили на звонок.
  • Фото: новая функция «Общие альбомы» в iCloud Photos заблокирована, а приглашения автоматически отклоняются. Общие альбомы по-прежнему работают на любых устройствах без включенного режима блокировки.

Помимо этого, другие службы Apple, такие как Home, будут отклонять входящие приглашения, если вы ранее не взаимодействовали с отправителем.

Изменения устройств

Некоторые другие функции устройства также ограничены при включенном режиме блокировки. Если у вас есть Mac с Apple Silicon, подключенные устройства или аксессуары не могут подключаться, если ваш Mac не разблокирован и не дано явное разрешение устройства. Профили конфигурации также больше не могут быть установлены, а возможность регистрации в системе управления мобильными устройствами (MDM) отключена. Это функции корпоративного управления, которыми иногда злоупотребляют для контроля или мониторинга устройств.

Ключи доступа

Ключи доступа, вероятно, станут наиболее эффективной новой функцией для обеспечения безопасности обычных людей. Ключи доступа — это кроссплатформенный стандарт, поддерживаемый Google, Apple и Microsoft. В соответствии со стандартом FIDO2 пароли — это первая реальная попытка заменить пароли в качестве основного способа аутентификации.

Использование ключа доступа, хранящегося на вашем телефоне, поддерживается большинством браузеров в macOS, но в настоящее время только Safari позволяет вам использовать ключ доступа, хранящийся на вашем Mac. Ключи доступа, сгенерированные на вашем iPhone или Mac, хранятся в цепочке ключей iCloud, которая полностью зашифрована паролем вашего телефона или экрана блокировки компьютера. В Safari ключи доступа заменяют регистрацию WebAuthn для одного устройства, которая позволяла использовать компьютер в качестве аппаратного ключа с Touch ID.

В настоящее время преимущества паролей довольно ограничены, пока больше служб не поддержит стандарт первичной или многофакторной аутентификации.

Быстрая реакция безопасности

Помимо iOS 16, Apple представляет Rapid Security Responses (RSR) для macOS Ventura. RSR позволяет Apple выпускать небольшие исправления безопасности «на лету» намного быстрее, чем раньше.

Ранее выпуск даже небольшого исправления безопасности означал, что Apple должна была выпускать огромный пакет обновлений размером в несколько гигабайт. Это было необходимо для сохранения криптографической целостности системы после изменений в способе обработки системного тома в macOS Big Sur. С RSR обновления намного меньше, поэтому исправления можно загружать гораздо быстрее и применять с большей надежностью.

Исправления RSR применяются немедленно. Однако они привязаны к вспомогательной версии macOS, с которой они выпущены. , что означает, что для их получения необходимо установить последнее доступное обновление macOS: они не заменяют обычные обновления.

Что еще предстоит выяснить< /a> какие исправления безопасности будут выпущены через RSR, а не стандартные обновления безопасности. Более серьезные ошибки, в том числе утечки памяти в зоне Mach и ошибки, которые могут вызвать панику ядра, скорее всего, потребуют формального обновления macOS, а не быстрого исправления.

Изменения привратника

Gatekeeper — это основной подход Apple к обработке вредоносных программ в macOS, который исторически работал как функция «сканирования при запуске» для недавно загруженных приложений. В macOS Ventura Gatekeeper был обновлен для запуска проверки подписи и нотариального заверения при каждом запуске приложения, а не только при первом запуске. Это должно улучшить возможности сканирования вредоносных программ, но потенциально может вызывать проблемы с приложениями, которые обновляются самостоятельно. Эта практика распространена в приложениях, распространяемых за пределами App Store, и может привести к несоответствию между сигнатурой кода приложения и фактическим содержанием.

Ошибка со сканерами вредоносных программ и инструментами мониторинга

WIRED сообщил об ошибке в первоначальном выпуске macOS Ventura. лишает сторонние продукты безопасности, такие как BlockBlock от Objective-See, доступ, необходимый им для сканирования системы. Существует обходной путь для исправления этого доступа, поэтому, если вы используете подобные инструменты, вам следует вручную проверить приложение безопасности, чтобы убедиться, что оно работает должным образом. Apple должна исправить эту проблему в следующем обновлении системы.

Заключительные мысли

Если вы являетесь пользователем Mac, macOS Ventura предлагает множество новых функций безопасности и конфиденциальности. Мы рекомендуем как можно скорее перейти на macOS Ventura (у меня уже есть). Мы продолжим следить за тем, как подобные функции безопасности используются и улучшаются в будущем на платформах Apple и других платформах.

:::информация Также опубликовано здесь.

:::


Оригинал
PREVIOUS ARTICLE
NEXT ARTICLE