Файрвол не может блокировать трафик из macOS

На прошлой неделе в интернете поднялась шумиха по поводу того, что Apple отслеживает каждый запуск каждого приложения в macOS — и отправляет данные на «материнский корабль» в виде хэша, с IP-адресом («Ваш компьютер на самом деле не ваш»). По ходу выяснилось, что она делает это уже два года. Раньше была возможность заблокировать такое поведение с помощью файрвола типа Little Snitch, однако новая версия macOS 11.0 Big Sur научилась обходить файрволы и VPN. За шпионаж и слив данных отвечает служба Gatekeeper, которую никак нельзя заблокировать.

Причины для внедрения такой функции в операционную систему неизвестны. Похоже, Apple собирается контролировать, что на компьютере запускаются только «правильные» приложения.

Монополия


Точно такую модель «закрытой экосистемы» Apple применяет в iOS — и 99% пользователей этим довольны. Они получают гарантированную и защищённую среду, в которой так комфортно жить. Теперь этот «комфорт» расширяется на настольные компьютеры.


Big Sur сделана в стиле iOS и адаптирована под новый ARM-процессор Apple M1

Вероятно, для десктопов тоже будет создан каталог программного обеспечения с ограничениями для разработчиков. Этими хэшами Apple будет проверять, что приложение легальное и установлено из официального каталога.


В Big Sur демон trustd находится в новом списке исключений ContentFilterExclusionList и не может быть заблокирован никаким пользовательским файрволом или VPN

Практически никто не говорит о главной цели Apple, к которой она стремится. Также как Microsoft и Google со своими фирменными каталогами для Windows и ChromeOS, соответственно. Эту тему не принято обсуждать, потому что сами компании официально не заявляют о ней. Но все их действия свидетельствуют о том, что именно это — главный ориентир.

Цель — получить комиссию за каждую проданную программу для настольных компьютеров. Сейчас каталог App Store является одним из главных источников дохода Apple. Скорее всего, он занимает второе место в структуре доходов Apple после продаж iPhone. В 2019 году App Store принёс доход около $50 млрд и чистую прибыль $15 млрд.

Проблема в том, что «закрытая экосистема» принуждает разработчиков распространять приложения через App Store. Каталог становится основным каналом распространения программ. А здесь хозяином является Apple в силу своего монопольного положения на данной платформе.

Каталог приложений для macOS принесёт «яблочной компании» на порядок меньше денег, чем App Store для iOS. Но главное, что он создаст прецедент «закрытой экосистемы» для настольных компьютеров. Затем примеру последует Microsoft, а это уже совсем другие деньги — и это затронет гораздо больше людей.

Кто-то сомневается, зачем Microsoft создала каталог Microsoft Store с приложениями для Windows?

У каталогов приложений для смартфонов мы видели такой же сценарий: сначала комиссию 30% ввела Apple, а за ней последовали все остальные.

Каждая из этих компаний — Apple, Microsoft и Google — стремится создать собственную закрытую экосистему, где она будет контролировать, какие программы разрешены к выполнению. Ближе всех к этому приблизилась Apple, которая ввела обязательную подпись исполняемых файлов.

Обязательная подпись


В прошлом году на конференции WWDC 2019 состоялась сессия для разработчиков, где выступил Гаррет Якобсон (Garrett Jacobson) из Apple. Он чётко объяснил, что безопасность платформы всё больше зависит от достоверности подписей кода. Если у приложения нет цифровой подписи, то обнаружить подделку невозможно. А «в будущей версии macOS неподписанный код больше не будет выполняться по умолчанию».

Эта будущая версия — Big Sur. Речь идёт о запуске нативного кода на процессоре Apple M1.



Об этом сообщается в примечаниях к релизу для разработчиков Universal Apps beta 4: «Новая версия macOS 11 на компьютерах Apple Silicon и начиная со следующей бета-версии macOS Big Sur 11 операционная система будет требовать, чтобы любой исполняемый файл был подписан действительной подписью, прежде чем будет запущен».

Подпись кода нужна не для безопасности, а чтобы macOS могла проверить аутентичность кода, сравнивая его с хэшем. Это не включает в себя проверку сертификата подписи, например, поскольку важны хэши, хранящиеся в файле /Contents/_CodeSignature/CodeResources в пакете приложений (или аналогичном).

Теперь Xcode обеспечивает удобный способ применения специальной подписи кода при создании приложений, когда вы выбираете опцию Sign to Run Locally для подписи сертификата (Signing Certificate). Он также доступен с помощью командных инструментов, таких как clang или ld. Его можно вызвать вручную с помощью следующей команды:

codesign -s -filename

В отличие от подписи разработчика и нотаризации, это не предназначено для предотвращения каких-либо изменений, вносимых в исполняемый код. Вредоносное программное обеспечение всегда может повторно подписать изменённый код, используя другую подпись.

Шаг навстречу разработчикам


На днях Apple объявила о снижении комиссии в App Store для разработчиков, которые зарабатывают на всех своих приложениях меньше $1 млн в год. Ставка снижается с 30% и 15%. Это самое значительное изменение в условиях App Store за всё время существования каталога.

Снижение комиссии последовало после беспрецедентного давления на Apple со стороны разработчиков и антимонопольных органов. Оно включает в себя запуск европейского антимонопольного расследования в отношении App Store и Apple Pay, публичный спор с производителем программного обеспечения Basecamp по поводу её почтового клиента Hey, беспрецедентную юридическую битву с Epic Games по поводу включения собственных вариантов оплаты в приложении Epic в Fortnite и серию споров с Facebook, Microsoft и другими по поводу того, что конкуренты Apple считают несправедливыми ограничениями на сторонние приложения iOS.

В последние месяцы критику в отношении Apple высказали десятки известных разработчиков приложений и известных компаний, от Match Group (Tinder) до Spotify. Они обвиняли Apple в том, что она осуществляет монопольный контроль над рынком iOS и использует свою власть во вред конкуренции и для получения необоснованных прибылей от крупных и мелких разработчиков.

Очевидно, что отношения Apple с разработчиками сейчас не такие благостные, как в прошлые годы, и новое снижение комиссионных поможет исправить ситуацию. Мелкие разработчики приносят всего 5% доходов App Store, так что потеря небольшая.

Снижение до 15% не должно никого обмануть


На протяжении десятилетий разработчики свободно создавали и распространяли своё программное обеспечение. Как бесплатно, так и за деньги. Любой человек с компьютером мог получить любую программу, какую пожелает. Это изменилось с появлением каталога приложений Apple для iOS. Здесь разработчики должны получить одобрение Apple, согласиться на оплату только через платёжную систему Apple с комиссией в размере 30% (или 15% в ближайшем будущем).

Apple объясняет наличие комиссии тем, что телефон является специализированным устройством, поскольку его основная функция — совершать телефонные звонки, и эта основная функция должна быть защищена от вредоносного программного обеспечения, которое может нарушить его способность совершать эти звонки.

Самое грустное, что примеру Apple последовала компания Google со своим каталогом, а потом Steam, Samsung и практически все владельцы каталогов приложений. Теперь все они берут комиссию за совершение платежей на таких же основаниях.

Это кажется совершенно нелепицей. И если Apple запустит каталог программ для настольного компьютера с такой же комиссией — ей придётся искать другое объяснение. Скорее всего, оно будет таким же нелепым. Но можно не сомневаться, что примеру последуют Microsoft, Google и остальные.

Отдельные разработчики уже начали с этим бороться. Все должны понимать, что комиссия 30% и даже 15% чрезмерно велика. Это намного больше, чем берут обычные платёжные системы типа Visa и Mastercard. Если Apple и остальные выступают здесь просто в роли платёжной системы (а Apple позиционирует себя именно так), то комиссия для разработчиков должна быть кардинально снижена.

Со стороны пользователей Linux вся эта система распространения приложений за деньги с обязательной комиссией для конкретного посредника выглядит вообще дико.

Сейчас сложно поверить, что за продажу программы на персональном компьютере мы будем платить комиссию создателю операционной системы Windows или macOS. Но в мире айфонов всё именно так. И люди считают это нормальным.



На правах рекламы


VDSina предлагает VDS в аренду под любые задачи, огромный выбор операционных систем для автоматической установки, есть возможность установить любую ОС с собственного ISO, удобная панель управления собственной разработки и посуточная оплата тарифа, который вы можете создать индивидуально под свои задачи.