Когда в ноябре Apple выпустила macOS Big Sur, исследователи быстро обнаружили странную аномалию в защите системы, которая могла сделать Mac небезопасными. Apple теперь, похоже, решает эту проблему, внося исправление в последнюю публичную бета-версию.
Содержание статьи
Что случилось?
По какой-то странной причине Big Sur представил спорные и потенциально небезопасные изменения, которые предназначены собственные приложения Apple, все еще могут получить доступ к Интернету, даже если пользователь заблокировал доступ из Mac, что с помощью брандмауэра. Это не соответствовало традиционной позиции Apple в отношении безопасности. Ситуация усугублялась тем, что когда эти приложения (а их всего было 56) получали доступ к сети, приложения для мониторинга пользовательского и сетевого трафика не могли отслеживать это использование.
Это означало Приложения Apple могли получить доступ к Интернету для получения привилегий Gatekeeper, в то время как другие приложения не могли, что создавало потенциальную угрозу безопасности, поскольку они были включены в ContentFilterExclusionList .
Впоследствии было показано, что эта защита могла быть подорванным, чтобы дать приложениям, в том числе вредоносным, аналогичные специальные возможности. Несанкционированные приложения могли работать в фоновом режиме, минуя защиту Getekeeper, даже когда пользователь считал, что его Mac защищен брандмауэром.
Этот эксплойт не был особенно тривиальным и представлял угрозу безопасности.
Если вы используете текущую общедоступную версию Big Sur, вы можете увидеть список для себя в файле /System/Library/Frameworks/NetworkExtension.framework/Versions/Current/Resources/Info.plist, просто найдите ContentFilterExclusionList . "
Что изменилось?
Apple исправила эту проблему в своей последней общедоступной бета-версии, как отметил Патрик Уордл. Компания удалила ContentFilterExclusionList из macOS 11.2 Big Sur beta 2, что означает, что брандмауэры и фильтры активности теперь могут отслеживать поведение приложений Apple, а также сокращают потенциальную уязвимость для атак.
Мы знаем, почему Apple попыталась это сделать. Когда компания удалила поддержку расширений ядра (kexts) с компьютеров Mac, она также создала новую архитектуру для поддержки расширений, основанных на kexts.
Однако она также решила освободить свои собственные приложения от этих фреймворков, которые поэтому программное обеспечение, основанное на новой архитектуре расширений, не могло обнаружить или заблокировать генерируемый ими трафик.
Почему это может иметь смысл?
Я могу представить себе некоторые причины Возможно, есть смысл включить некоторые приложения Apple в какой-то суперсекретный режим. В частности, я думаю о FindMy и о том, насколько он может быть полезен, если тайно запустить его на утерянном или украденном Mac. Но даже в этом случае кажется более подходящим (и гораздо более соответствующим растущей позиции Apple в отношении конфиденциальности и контроля пользователей) предоставить пользователям контроль над этим взаимодействием, возможно, с помощью чего-то вроде кнопки «работать тайно в фоновом режиме и сопротивляться брандмауэрам». .
В будущем, по мере того, как Apple будет двигаться к покрытию на основе сетей, особенно для Find My, инженерам придется решать задачу включения трафика — поиск других устройств Apple или обмен информацией об их местоположении для пример — чтобы безопасно и надежно поддерживаться как дискретный фоновый процесс без дополнительных трений пользователей (сообщения безопасности) и поддерживая конфиденциальность и безопасность по всей цепочке.
Я чувствую, что это могло быть попыткой в этом направление, но тот факт, что он может быть нарушен для проникновения в систему безопасности Mac, является неустойчивым. Я уверен, что Apple будет искать лучшие решения этой загадки.
Когда будет обновлен Big Sur?
Текущая версия Big Sur еще не развернута это исправление, но тот факт, что оно теперь доступно в последней общедоступной бета-версии, предполагает, что в ближайшие пару недель оно будет поставляться более широко.
Когда оно появится, оно также представляет еще один полезный уровень защиты для M1 Mac, которые больше не смогут загружать потенциально неутвержденные приложения iOS, так как возможность обхода брандмауэра будет удалена.
Пожалуйста, подпишитесь на меня в Twitter, или присоединяйтесь ко мне в группе бара и гриля AppleHolic на MeWe.
Авторские права © 2021 IDG Communications, Inc.
