导航菜单
首页 >  沐鸣开户测速 >  » 正文

苹果让一些大的苏尔网络流量绕过了防火墙


防火墙不仅适用于公司网络。大量有安全或隐私意识的人也使用它们来过滤或重定向进出他们电脑的流量。苹果最近对macOS进行了重大改动,这让上述努力受挫。

从去年发布的macOS Catalina开始,苹果公司增加了50个苹果特有的应用程序和进程,这些程序和进程可以免受防火墙的保护,沐鸣开户测速比如Little Snitch和Lulu。无证件的豁免,直到防火墙被重写以实施大苏尔的变化才生效,第一次曝光是在10月份。Mac和iOS企业开发者Jamf的安全研究员Patrick Wardle在周末进一步记录了这种新行为。

“100%盲”

为了证明这一举动带来的风险,曾是美国国家安全局黑客的瓦尔德演示了恶意软件开发者如何利用这一变化,绕过一种行之有效的安全措施。他设置Lulu和Little Snitch在运行Big Sur的Mac电脑上拦截所有流出的流量,然后运行一个带有exploit代码的小程序脚本,该脚本与苹果豁免的一个应用程序进行交互。python脚本顺利地到达了他设置的用来模拟被恶意软件用来泄露敏感数据的命令和控制服务器。

Wardle提到这个脚本,他告诉我说:“它友好地要求(被强迫的?)一个可信的苹果项目来生成网络流量到攻击者控制的服务器,然后(ab)就可以用这个来窃取文件。”“基本上,‘嘿,苹果先生,你能把这个文件发送到帕特里克的远程服务器吗?它会善意地表示同意。而且由于流量来自可信项目,它将永远不会通过防火墙路由……这意味着防火墙是100%盲的。”

Wardle在twitter上发布了他在大苏尔测试阶段提交给苹果的错误报告的一部分。它特别警告说,“防火墙等基本安全工具在变更中是无效的”。

苹果尚未解释这一变化背后的原因。防火墙的错误配置通常是软件不能正常工作的原因。一种可能性是,苹果实施这一举措是为了减少它收到的支持请求的数量,让那些没有受过设置有效防火墙规则培训的人更好地使用Mac。防火墙可以免除自己的流量,这是很常见的。苹果或许也在运用同样的理由。

但无法覆盖这些设置违反了一个核心原则,即人们应该能够有选择地限制来自自己电脑的流量。在Mac真的被感染的情况下,这一改变也为黑客提供了一种绕过对许多人来说有效缓解此类攻击的方法。

“我看到的问题是,它为做Patrick演示的事情打开了大门……恶意软件的作者可以利用这一点,将数据偷偷绕过防火墙,”安全公司Malwarebytes的Mac和移动产品总监托马斯·里德(Thomas Reed)说。“另外,总有一些人可能出于某种原因,有合法的需要屏蔽一些苹果的流量,但这在不使用苹果电脑以外的某种硬件网络过滤器的情况下,就剥夺了这种能力。”

nk

这一变化是由于苹果不支持macOS内核扩展,沐鸣开户测速软件开发人员使用这些扩展来让应用程序直接与操作系统交互。被否决的包括nks——网络内核扩展的缩写——第三方防火墙产品用于监视传入和传出的流量。

代替NKEs,苹果引入了一个新的用户模式框架,称为网络扩展框架。为了在Big Sur上运行,所有使用NKEs的第三方防火墙都必须重写以使用新的框架。

苹果公司的代表没有回复有关这一变化的电子邮件提问。如果他们稍后回复,这篇文章将被更新。与此同时,想要推翻这项新豁免的人将不得不寻找替代方案。正如里德在上面提到的,一种选择是依赖于运行在Mac外部的网络过滤器。另一种可能是依赖于PF,即macOS内置的包过滤防火墙。