Veiligheid voor vrijheid? macOS Mojave 10.14.5 verscherpt eisen aan Mac-apps

Door: Raymon Mens - 29 reacties
macOS Mojave

Op een apparaat met iOS moet je echt heel erg je best doen om spyware of malware te installeren. Op de Mac is het wat makkelijker om apps uit onbekende bron te installeren en daar wil Apple wat aan doen. In de volgende update voor macOS Mojave met versienummer 10.14.5 worden de eisen aan Mac-apps aangescherpt.

Apple gaat ontwikkelaars verplichten om hun apps te laten notariseren. Dit wil zeggen dat een app bij Apple bekend moet zijn en ondertekend moet worden met een certificaat. In macOS 10.14.5 is het verplicht voor alle nieuwe apps en in macOS 10.15 wordt het verplicht voor alle apps. Dus ook bestaande apps.

Apps buiten de Mac App Store

Dit geldt uiteraard alleen voor apps die buiten de App Store worden aangeboden. Het laten notariseren van een app kan geautomatiseerd en vereist in tegenstelling tot iOS geen tussenkomst van een menselijke reviewer. Een automatisch proces scant de app op aanwezigheid van kwaadaardige code. Dit is een duidelijk voordeel voor beginnende gebruikers, maar kan geavanceerde gebruikers juist weer in de weg zitten.

macos mojave app blocked
Klik/tap voor groter.

Meer veiligheid ten koste van vrijheid? Het is nog steeds mogelijk om niet-ondertekende apps te openen in macOS Mojave 10.14.5. Je klikt gewoon met de rechtermuisknop op de applicatie en kiest vervolgens voor ‘Openen’. Door deze nieuwe maatregel wordt echter wel gevreesd dat Apple ooit alle applicaties die niet uit de Mac App Store komen, gaat weren. Dit is immers weer een stap in die richting.

Notariseren vervangt Developer ID

Het laten notariseren van apps is recent door Apple geïntroduceerd. Het was een van de nieuwigheden in macOS Mojave en vervangt het oude systeem waarbij met een Developer ID werd gewerkt. Er zijn een aantal verschillen tussen het oude en nieuwe systeem. Apps met een Developer ID worden niet door Apple gescand, maar een ontwikkelaar krijgt eenmalig een certificaat dat voor al zijn apps gebruikt kan worden. Apps met notarisatie ondergaan een malware-scan. Het geeft je als gebruiker dus extra veiligheid.

Daarnaast is het ook veiliger voor ontwikkelaars. Soms lekken certificaten van een Developer ID uit en kan allerlei malware met een valide Developer ID ondertekend worden. Apple kan in zo’n geval alleen het hele ID blokkeren. Wat wil zeggen dat ook alle legitieme software van de ontwikkelaar stopt met werken. Met notariseren kan alleen de verificatie van een bepaalde app ingetrokken worden, zonder dat het invloed heeft op andere apps van dezelfde ontwikkelaar. Een goede ontwikkeling of teveel inperking van een traditioneel open systeem als macOS? Zeg het maar.

Reacties

29 reacties
  • Profielfoto
    maluku-nick

    Een goede stap, zeker nu het platform groeit in de zakelijke markt. Apple kennende zal de gemiddelde gebruiker hier niets van merken, de power-user weet wat er gaande is en kan er mee om gaan.

  • Profielfoto
    Shmoo

    Een goede stap, zeker nu het platform groeit in de zakelijke markt.

    Zit jij aan de drugs of ben jij een werknemer van dat Jamf software gedoe?

     

  • Profielfoto
    polansky

    maluku-nick op 9 april 2019 20:30
    Een goede stap, zeker nu het platform groeit

    Je bent niet goed bij je hoofd.
    Dit is totaal de verkeerde richting die Apple op gaat.

    Een mac als gesloten systeem is voor mij absoluut een reden om Apple te verlaten. En ik weet zeker dat velen zullen volgen.

    Ik ben baas over eigen huis en over mijn eigen computer.

  • Profielfoto
    sedikit

    Als of een autofabrikant de autobezitter gaat verbieden onderdelen te monteren die niet van die fabrikant zijn, van bougie tot autoband. Apple begint dictatoriale trekken te vertonen (maar dat vond ik al een beetje).

  • Profielfoto
    imar

    Betekent dit dat je alle oudere apps (hulpprogramma’s die niet meer ontwikkeld worden) dan niet meer kan gebruiken? Of denkt Apple dat dit toch al gebeurt omdat 10.15 64-bit only zal zijn?

    Ik vrees het einde van een aantal zeer gewaardeerde free- en donationware pakketten die ik al jaren gebruik en waar geen goede vervanger  voor is…

  • Profielfoto
    whaha

    Ik zal wel geen gemiddelde gebruiker zijn, want ik ga hier echt wat van merken….

  • Profielfoto
    peterharte

    Wat zeuren jullie allemaal. Zijn jullie allen software-ontwikkelaars?

    Lijkt me niet.

  • Profielfoto
    iep

    polansky op 9 april 2019 21:26
    Een mac als gesloten systeem is voor mij absoluut een reden om Apple te verlaten. En ik weet zeker dat velen zullen volgen.

    Waar haal je die onzin vandaan dat het notariseren van apps tot een gesloten systeem leidt?

    sedikit op 9 april 2019 21:44
    Als of een autofabrikant de autobezitter gaat verbieden onderdelen te monteren die niet van die fabrikant zijn, van bougie tot autoband. Apple begint dictatoriale trekken te vertonen (maar dat vond ik al een beetje).

    Voor jou dezelfde vraag: op basis van wat baseer je deze nonsens?

    Wat het notariseren van apps betekent is dat je veel meer zekerheid hebt dat de app is wat ie zegt dat ie is. Daar was in het verleden nogal wat gedoe mee, met name met misbruik van de certificaten die Apple aan developers uitdeelde. Wat hier gebeurd is dat we het oude systeem dat zeer kwetsbaar voor misbruik is nu inruilen voor eentje die dat heel wat minder is. Alle checks zoals macOS die nu ook doet zullen niet vervangen worden. Ze zullen nu alleen op iets anders moeten checken omdat we naar een notary systeem gaan. Dat betekent dat er voor de gebruiker dus niets veranderd.

    Als je hier een auto vergelijking wil maken dan is wat je hier nu roept wel echt totaal onjuist. Waar het hier om gaat is dat de garage nu het ene keurmerk voor het andere inwisselt. Voor de garage en diens monteurs betekent dat het nodige aangepast moet worden. De klant heeft er verder niets mee te maken omdat voor hun niets veranderd.

    Voor wie, in tegenstelling tot de schreeuwers hier, wel weet hoe software ontwikkeling in zijn werk gaat is dit ook totaal niet spannend. Het is niets anders dan je geautomatiseerde tests die je doet bij een build. Of een container security scan die een beetje docker registry aan boord heeft.

  • Profielfoto
    Shmoo

    Ik heb softwareontwikkeling uitgevonden, en tepels bij mannen!

  • Profielfoto
    starrewiets

    Ik zie voor mij ook veel problemen heb veel apps die via wineskin gemaakt zijn omdat ze niet bestonden en nu vind apple dat ik ze niet meer mag gebruiken
    Ik bepaal zelf wel wat betrouwbaar is en anders gaat die mac gewoon de deur uit simpel

  • Profielfoto
    sedikit

    @iep

    „ Wat hier gebeurT is dat we het oude systeem dat zeer kwetsbaar voor misbruik is nu inruilen voor eentje die dat heel wat minder is.”
    Hier werd altijd beweerd dat het OS X systeem eigenlijk niet kwetsbaar is. Hoe zit dat?
    „ Dat betekent dat er voor de gebruiker dus niets veranderT” en “De klant heeft er verder niets mee te maken omdat voor hun niets veranderT.”
    Dan lees jij kennelijk iets anders dan ik.
    Overigens „roep” ik hier niet, en al helemaal wens ik niet voor „schreeuwer”  te worden uitgemaakt.

  • Profielfoto
    Yosemite

    Door deze nieuwe maatregel wordt echter wel gevreesd dat Apple ooit alle applicaties die niet uit de Mac App Store komen, gaat weren. Dit is immers weer een stap in die richting.

    Zie geen enkele aanleiding om dat te vrezen. De Mac App Store bestaat al bijna 9 jaar en je kan nog steeds alles installeren, dat gaat niet veranderen heeft Apple al verschillende keren aangegeven.

    Dit zorgt alleen voor een stukje extra veiligheid bij het installeren van apps van vertrouwde ontwikkelaars en helemaal geen extra beperking.

  • Profielfoto
    GoeieDag

    “Notariseren”?
    WTF is dit voor een woord? Slechte vertaal machine?

    Autoriseren, legaliseren, verifiëren, machtigen, noem maar op. Maar “Notariseren”? Kom op, zeg.

  • Profielfoto
    Facundo

    Gaan we dit gelazer ook al buiten de appstore krijgen? Voor diverse appstore-apps heb ik uiteindelijk een versie van buiten de appstore gekregen van developer, omdat het vaak weken duurt voordat een cruciale update wordt geautoriseerd door Apple.

  • Profielfoto
    polansky

    iep op 9 april 2019 23:48
    Waar haal je die onzin vandaan dat het notariseren van apps tot een gesloten systeem leidt?

    Dit is geen onzin Iepje Piepje.
    Blijkbaar ben jij zo’n ontzettende sukkel die alles wat Apple doet aanbid.

    Je snapt er zelf geen reet van om het maar in dezelfde bewoordingen te beantwoorden. Maar goed loosers houdt je altijd.

  • Profielfoto
    polansky

    Facundo op 10 april 2019 09:39
    Gaan we dit gelazer ook al buiten de appstore krijgen? Voor diverse appstore-apps heb ik uiteindelijk een versie van buiten de appstore gekregen van developer, omdat het vaak weken duurt voordat een cruciale update wordt geautoriseerd door Apple.

    Inderdaad of dat je geen upgrade kunt krijgen en je een volledig nieuwe versie moet kopen.

    Apple is gewoon compleet van het padje af aan het raken, heel jammer dat ze het weer over gecompliceerd moeten maken. Dit heeft niets met veiligheid te maken, maar alles met geld verdienen. Typisch Apple.

  • Profielfoto
    HappyUser

    Ga naar de Terminal:

    Typ: sudo spctl –master-disable, geef je wachtwoord in en je kunt weer alles installeren en openen.

  • Profielfoto
    Facundo

    Dit lijkt vooral bedoeld om (o.a.) Spotify te kunnen dwarszitten. Lekker lang wachten met autoriseren…….lekker puh.

  • Profielfoto
    Jakko Westerbeke

    sedikit op 9 april 2019 21:44
    Als of een autofabrikant de autobezitter gaat verbieden onderdelen te monteren die niet van die fabrikant zijn, van bougie tot autoband.

    Dat is precies wat tractorfabrikant John Deere doet in Amerika. Nou ja, niet met banden en zo, maar grotere reparaties moeten in de boordcomputer van de trekker toegestaan worden, anders zal die ze niet laten werken. Zelf een versnellingsbak vervangen is er daarom niet bij, want een officieel monteur zal tegen de computer moeten zeggen dat die nieuwe bak OK is. (Gevolg: een groot aantal Amerikaanse boeren die op Russische websites software kopen om dit te omzeilen.)

  • Profielfoto
    Hydrarchos

    Dit is ook voor niet-ontwikkelaars een issue. Voor mijn werk gebruik ik vaak appjes met een beperkte, specifieke taak (PDF-spreads terugbrengen naar enkele pagina’s bijvoorbeeld) die ooit door iemand zijn ontwikkeld (soms ook in Java) en daarna nooit zijn onderhouden. Die gaan nooit voor zo’n screening aangeboden worden, maar ze werken nog prima.

    Bovendien gaan we er wel heel gemakkelijk vanuit dat Apple zich alleen op malware gaat richten. Da’s natuurlijk een populaire maatregel, maar durven we werkelijk onze handen ervoor in het vuur te steken dat Apple niet ook andere criteria gaat checken?

    Dat er een soort gecureerde omgeving komt, prima, maar als daar geen opt-out bij zit en de software net zo dichtgetimmerd raakt als de hardware, ben ik ook vertrokken. Zo vreselijk is Windows ook niet meer.

  • Profielfoto
    bmeerdink

    Het scannen op malware vóór installatie lijkt me altijd verstandig, en dat Apple investeert in zo’n service is daarom positief. De gebruiker moet wel altijd een override hebben, maar hoe minder dat voorkomt hoe beter lijkt me. Ook ontwikkelaars, open source of niet, kunnen gehacked worden en nietsvermoedend malware verspreiden. Als het een kleine moeite is voor de ontwikkelaar om elke nieuwe versie even door de scan te halen dan wordt macOS nog weer een stapje veiliger. Het risico verlagen dat je getroffen wordt door ransomware of een van de talrijke andere vormen van malware, goed toch?

  • Profielfoto
    bmeerdink

    Het valt me trouwens op hoeveel zwartkijkers hier op het forum ronddwalen. Zwartkijken is slecht voor de gezondheid (en die van anderen).

    De scan is geheel automatisch en levert geen vertraging op, tenzij er inderdaad een probleem is met de versie die aangeboden wordt. Het doel is transparant en voorziet in een behoefte. Als Apple de Mac teveel richting iOS zou duwen (door de Mac App Store verplicht te stellen bijvoorbeeld) brengen ze macOS daarmee om zeep dus dat gaat gewoon niet gebeuren.

  • Profielfoto
    Yosemite

    Inderdaad veel zwartkijkers. Je kan straks nog steeds alles installeren, dat blijft zoals het is.

  • Profielfoto
    Elduderino

    Veel boe geroep, maar diezelfde mensen vergeten dat het installeren van mallicious apps een groot probleem is. Dit soort regels zijn gewoon goed om de gebruiker te beschermen. Het heeft weinig met Apple control te maken, maar alles met het beperken van risico’s. Het is soms verbazend hoeveel ontwikkelaars nog apps vrijgeven zonder een fatsoenlijk certificaat. Hoe ga je dan in hemelsnaam de gebruiker duidelijk maken met wat men wel of niet moet installeren. Duidelijkheid scheppen en natuurlijk zal niet iedereen er blij mee zijn, maar het voorkomt dat het ooit zo’ n rommel wordt als bij het velen geliefde Windows. En reken er maar op dat Microsoft ook meer en meer in deze richting beweegt.

     

     

     

  • Profielfoto
    Facundo

    maar het voorkomt dat het ooit zo’ n rommel wordt als bij het velen geliefde Windows. En reken er maar op dat Microsoft ook meer en meer in deze richting beweegt.

    De gebruikelijke fanboy-meuk uit de prehistorie. Er zijn redenen waarom windows al lange tijd maatgevend is. Het is al lange tijd geen rommel meer. En dan dat eeuwig voortdurende gesuggereer dat windows onveliger zou zijn. Veiligheid verzorg je zèlf! Als je dat aan Apple of Microsoft overlaat ben je een naïve sukkel. Wij hebben hier bij beide systemen al jaren geen malware of systeemcrash meer gehad. En bij windows is dat des te knapper, omdat deze ook touch-bediening faciliteert. Iets dat Apple heeft laten liggen, en waardoor wij hier alleen nog een macmini als server hebben staan. De rest (2 hybride laptops en een desktop) is windows geworden. Gewoon, omdat Apple achter bleef.

  • Profielfoto
    WillemZ

    Voor mij is de Notarisatie weer zo’n dingetje om als ontwikkelaar de Mac te gaan verlaten.

    Apple wordt één groot zeikbedrijf. Altijd gezeur.
    XCode wordt zo onderhand een verplicht onderdeel. Bij elke update van XCode is er weer gezeik dat het iets anders werkt. Mag je er weer een paar dagen tegenaan. MAC OS moet verplicht worden geupdated en ook dat levert soms 5 weken downtime op. Omdat Apple het niet goed heeft voorbereid. Wat een gezeik.

    Verlopen certificaten. Weer zo’n gezeik.
    Technisch leuk, die certificatenrommel, maar operationeel kan iedereen die krijgen en malware maken onder dergelijke certificaten. Vervolgens moeten ze op diverse plekken worden ingebouwd in de hoop dat je voldoet aan wat Apple nodig vindt… Pittige onderwerpen als ontwikkelaar.

    De App Store. iOS geeft al een goed voorbeeld. Als ontwikkelaar teveel… gezeik.
    Bijna elke 3 maanden verandert er iets structureel en je moet maar weer uitvogelen wat er nu weer niet klopt. Iedere keer weer.
    Van elke verkochte euro ontvang ik vervolgens maar de helft. En een fatsoenlijk abonnementsvorm kent de App Store helemaal niet. En o wee o wee, als je buiten de App store centjes wil gaan verdienen…
    Geen wonder dat 90% van de ontwikkelaars oude Apps laat doodbloeden.

    Gelukkig hebben we dit allemaal niet onder Windows.
    Die hebben backwards compatibility nog altijd hoog in het vaandel staan.

  • Profielfoto
    Smugmarty

    Voor vrijheid en blijheid  moest je al lang kiezen voor meer compatibel devices en bijhorende besturingssystemen.

    In de vergelijking met auto onderdelen past daarom beter “een porsche rijden maar klagen dat de motor achterin zit”.

    Ik vind het wel een prettig idee dat OSX veilig(er) is en dus ook blijft dan de gemiddelde andere besturingsomgeving. Gebruik inmiddels al lang geen appjes meer om “work arounds” te bewerkstelligen… stick to the program or buy a windhoos;)

    sedikit op 9 april 2019 21:44
    Als of een autofabrikant de autobezitter gaat verbieden onderdelen te monteren die niet van die fabrikant zijn, van bougie tot autoband. Apple begint dictatoriale trekken te vertonen (maar dat vond ik al een beetje).

  • Profielfoto
    bmeerdink

    WillemZ op 11 april 2019 06:18
    Voor mij is de Notarisatie weer zo’n dingetje om als ontwikkelaar de Mac te gaan verlaten.

    Apple wordt één groot zeikbedrijf. […. knip …]

    Met zo’n houding kom je inderdaad nergens. Software kost werk, klagen brengt je geen steek verder. Gewoon de handen uit de mouwen steken. De Mac App store is een optie, geen verplichting, en het is goed mogelijk om tegelijk binnen als buiten de app store software te verkopen.

    En uiteraard, Windows kan altijd. Maar als platform zijn zowel Windows als macOS in ver voorbijgestreefd door Android en iOS.

  • Profielfoto
    WillemZ

    Ben ik in het geheel niet met je eens, bmeerdink.

    Windows en Mac bedienen een totaal andere markt en ander gebruikerstype dan Android en iOS. Kijk maar eens in kantoren wat daar op het buro staat.

    En “software kost werk” of “software kost veel te veel werk” is nogal een verschil als je er bedrijfsmatig naar kijkt. We willen winst, geen verlies.