Apple software kan in MacOS 11.2 niet langer firewall of VPN omzeilen

Door: Night - 2 reacties
Apple macOS 11 Big Sur WWDC20
(Afbeelding: screenshot Apple)

Apple heeft een controversiële functie uit de beta versie van macOS 11.2 verwijderd, die ervoor zorgde dat veel van Apple’s eigen apps rechtstreeks verbinding konden maken met het internet. Zo werden firewalls, beveiligingshulpmiddelen en VPN-apps van derden omzeilt.

In macOS 11 Big Sur werd de ContentFilterExclusionList opgenomen. Deze lijst bevatte 53 apps en services van Apple, waaronder de App Store, Maps en iCloud. De apps op deze uitzonderingslijst konden ongestoord het internet op, zonder dat een firewall, VPN app of andere beveiligingshulpmiddelen, die door gebruikers waren geïnstalleerd, dit internetverkeer konden controleren. Daarnaast bevond dit bestand zich fysiek op de Mac:
/System/Library/Frameworks/NetworkExtension.framework/Versions/Current/Resources/Info.plist.

contentfilterexclusionlist
De uitgebreide contentfilterexclusionlist (klik/tap voor groter). Afbeelding: Simone Margaritelli

De lijst werd afgelopen oktober ontdekt door verschillende beveiligingsonderzoekers en app-makers. Het bleek namelijk dat hun beveiligingstools niet in staat waren om het internetverkeer voor sommige apps van Apple te filteren of te controleren. Zij wezen er destijds al snel op dat dit uitsluitings-systeem een nachtmerrie op het gebied van beveiliging was. Ze voerden aan dat malware of nóg schadelijke software eenvoudig zou kunnen meeliften op legitieme Apple-apps die op de lijst staan ​​en op die manier alle firewalls en beveiligingssoftware zouden kunnen omzeilen.

Naast beveiligingsprofessionals was de uitsluitings-lijst ook een doorn in het oog van privacy-experts. Want macOS-gebruikers liepen namelijk ook het risico dat hun echte IP-adres en locatie openbaar werden bij het gebruik van Apple-apps, omdat hun VPN-producten de locatie niet konden maskeren. Met name op publieke netwerken, kon dit problematisch zijn.

Functie was volgens Apple tijdelijk

Toe afgelopen oktober de lijst werd ontdekt en Apple om uitleg werd gevraagd, gaf het bedrijf slechts te kennen dat de functie tijdelijk was. Er werden verder geen details gegeven. Naar nu blijkt heeft Apple de lijst gebruikt om een reeks bugs uit Apple-apps te halen. Een Apple engineer bevestigde dit zei tegelijkertijd dat de lijst niets te maken had met iets schandelijks zoals het verzamelen van gebruikersinformatie door het bedrijf.

De bugs hielden verband met het feit dat Apple bepaalde netwerkkernel-extensies (NKE’s) in Big Sur afkeurde en een nieuw systeem introduceerde met de naam Network Extension Framework. Apple-technici hadden niet genoeg tijd om alle bugs op te lossen voordat Big Sur afgelopen herfst werd gelanceerd.

De meeste van deze bugs zijn in de tussentijd verholpen, en gisteren, met de release van macOS Big Sur 11.2 beta 2, vond Apple klaarblijkelijk dat het veilig genoeg was om de ContentFilterExclusionList weer uit de macOS-code te verwijderen.

Zodra Big Sur 11.2 uit is, zullen alle Apple-apps dus opnieuw onderworpen zijn aan firewalls en beveiligingshulpmiddelen en zullen ze wederom compatibel zijn met VPN-apps, zoals het hoort.

Reacties

2 reacties
  • Profielfoto
    donut

    Maar dit is natuurlijk wel schandelijk. Het maakt een groot gat in de beveiliging van het systeem; de reden? Het systeem was nog niet klaar voor primetime, maar mocht niet later gelanceerd worden.

    Weer een voorbeeld dat Apple achter zichzelf aanholt en alle bugs en beveiliging op de koop toe neemt. Nog niet zo lang geleden was er een systeem uitgebracht waarvoor niet het niet nodig was in te loggen.

    Ondertussen geen achterdeur in iOS willen inbouwen vanwege het principe van veiligheid?? Die zitten er dus ook wel in dankzij Apple’s continue haast.

    het maakt Apple onbetrouwbaar in meerdere opzichten.

     

  • Profielfoto
    Matador

    donut op 15 januari 2021 11:35
    Maar dit is natuurlijk wel schandelijk. Het maakt een groot gat in de beveiliging van het systeem; de reden? Het systeem was nog niet klaar voor primetime, maar mocht niet later gelanceerd worden.

    Weer een voorbeeld dat Apple achter zichzelf aanholt en alle bugs en beveiliging op de koop toe neemt. Nog niet zo lang geleden was er een systeem uitgebracht waarvoor niet het niet nodig was in te loggen.

    Ondertussen geen achterdeur in iOS willen inbouwen vanwege het principe van veiligheid?? Die zitten er dus ook wel in dankzij Apple’s continue haast.

    het maakt Apple onbetrouwbaar in meerdere opzichten.

     

    Je reactie raakt kant noch wal en is totaal naast de kwestie.