Когда в ноябре Apple выпустила macOS Big Sur, исследователи быстро заметили странную аномалию в защите системы, которая могла сделать компьютеры Mac небезопасными. Теперь Apple, похоже, решает эту проблему, представив исправление в последней общедоступной бета-версии.
Что случилось?
По какой-то странной причине Big Sur представил спорное и потенциально небезопасное изменение, которое означало, что собственные приложения Apple могли по-прежнему получать доступ к Интернету, даже если пользователь заблокировал весь доступ с этого Mac с помощью брандмауэра. Это не соответствовало традиционной позиции Apple в области безопасности. Что еще хуже, так это то, что, когда эти приложения (а всего их было 56) получают доступ к сети, приложения для мониторинга пользовательского и сетевого трафика не могли отслеживать это использование.
Это означало, что приложения Apple могли получить доступ к Интернету для получения привилегий гейткипера, в то время как другие приложения не могли, что создавало потенциальную угрозу безопасности, поскольку они были включены в .
Впоследствии было показано, что эту защиту можно обойти, чтобы дать приложениям, в том числе вредоносным программам, аналогичные специальные возможности. Мошеннические приложения могли работать в фоновом режиме, обходя защиту Getekeeper, даже если пользователь считал, что его Mac защищен брандмауэром.
Этот эксплойт не был особенно тривиальным и представлял собой угрозу безопасности.
Если вы используете текущую общедоступную версию Big Sur, вы можете сами просмотреть список в файле /System/Library/Frameworks/NetworkExtension.framework/Versions/Current/Resources/Info.plist, просто найдите «ContentFilterExclusionList».
Что изменилось?
Как отметил Патрик Уордл, Apple исправила эту проблему в своей последней публичной бета-версии. Компания удалила ContentFilterExclusionList из бета-версии 2 macOS 11.2 Big Sur, что означает, что брандмауэры и фильтры активности теперь могут отслеживать поведение приложений Apple, а также снижает потенциальную уязвимость к атакам.
Мы знаем, почему Apple попыталась это сделать. Когда компания удалила поддержку расширений ядра (kexts) для компьютеров Mac, она также построила новую архитектуру для поддержки расширений, основанных на kexts.
Однако он также решил сделать свои собственные приложения исключенными из этих платформ, поэтому программное обеспечение, основанное на новой архитектуре расширений, не могло обнаруживать или блокировать генерируемый ими трафик.
Почему это может иметь смысл?
Я могу представить несколько причин, по которым некоторые приложения Apple могут иметь смысл работать в каком-то сверхсекретном режиме. В частности, я думаю о FindMy и о том, насколько полезной она может быть, если оставить ее тайно работать на потерянном или украденном Mac. Но даже в этом случае кажется более подходящим (и гораздо более соответствующим растущей позиции Apple в отношении конфиденциальности и контроля пользователей) предоставить пользователям контроль над этим взаимодействием, возможно, с помощью чего-то вроде кнопки «тайно работать в фоновом режиме и сопротивляться брандмауэрам». .
В будущем, по мере того, как Apple переходит на покрытие на основе сетки, особенно для Find My, инженеры должны будут решить проблему, заключающуюся в том, как сделать так, чтобы трафик — например, поиск других устройств Apple или обмен информацией об их местонахождении — был безопасным и надежным. поддерживается как отдельный фоновый процесс, не создавая дополнительных пользовательских проблем (сообщений безопасности) и поддерживая конфиденциальность и безопасность по всей цепочке.
У меня есть ощущение, что это могла быть попытка в этом направлении, но тот факт, что его можно было подорвать, чтобы проникнуть в систему безопасности Mac, является неустойчивым. Я уверен, что Apple будет искать лучшие решения для таких задач.
Когда Биг Сур будет обновлен?
Текущая версия Big Sur еще не внедрила это исправление, но тот факт, что оно теперь доступно в последней общедоступной бета-версии, предполагает, что оно будет распространяться более широко в ближайшие пару недель.
Когда он появится, он также представит еще один полезный уровень защиты для компьютеров Mac M1, которые больше не смогут загружать потенциально неутвержденные приложения iOS, поскольку возможность обхода брандмауэра будет удалена.
© 2021 IDG Communications, Inc.