近日,,蘋果公司新推出的macOS操作系統(tǒng)版本Big Sur的一項“新功能”引起了安全人士的關(guān)注和擔(dān)憂,。該功能允許某些(約50個)Apple應(yīng)用程序繞過內(nèi)容過濾器和VPN,。安全專家們認(rèn)為這是一種危險的做法,,攻擊者可以利用這項新功能來繞過防火墻,,訪問人們的系統(tǒng)并暴露其敏感數(shù)據(jù)。
功能性漏洞,?
值得注意的是,,這個“漏洞”是蘋果有意保留的“功能”。早在今年10月份,,Big Sur Beta版用戶Maxwell(@mxswd)就在Twitter上指出了這個問題,,盡管安全專家對此表示擔(dān)憂和質(zhì)疑,但蘋果公司還是在11月12日正式發(fā)布的Big Sur中保留了這一“功能”,。
Maxwell在推文中指出:“一些蘋果應(yīng)用程式可繞過某些網(wǎng)絡(luò)過濾擴(kuò)展和VPN應(yīng)用,。例如,地圖可以繞過正在運行的任何NEFilterDataProvider或NEAppProxyProviders直接訪問互聯(lián)網(wǎng),?!?/p>
據(jù)悉,蘋果公司自己的開發(fā)者論壇也對蘋果公司繞過NEFilterDataProvider的做法感到不爽,。
50個“特權(quán)”APP
“我們發(fā)現(xiàn),,由于未記錄的Apple排除列表,NEFilterDataProvider無法查看和控制來自大約50個蘋果APP進(jìn)程的流量,?!币晃惶O果開發(fā)人員寫道:“我們認(rèn)為它有很多弊端,我們已經(jīng)知道這會對我們的最終用戶產(chǎn)生負(fù)面影響,?!?/p>
由于應(yīng)用程序防火墻和VPN都依賴Apple的NEFilterDataProvider過濾每個應(yīng)用程序的流量,繞過NEFilterDataProvider意味著VPN很難阻止蘋果的應(yīng)用程序,。研究人員表示,,更糟糕的是,多出來的旁路可能會使系統(tǒng)容易受到攻擊,。
繞過防火墻功能可被惡意軟件利用
盡管用戶認(rèn)為蘋果會在Bir Sur操作系統(tǒng)正式發(fā)布之前修復(fù)該漏洞,,但這似乎并未發(fā)生。Jamf的首席安全研究員Patrick Wardle(@patrickwardle)上周在Twitter上詳細(xì)闡述了該問題,,演示了惡意軟件如何利用這個Big Sur公開發(fā)布版本中存在的漏洞,。
在Big Sur,蘋果決定賦予許多應(yīng)用程序特權(quán),,繞過啟用第三方防火墻(LuLu,、Little Snitch等)的路由。Wardle在推特上發(fā)問,,提出了一個問題,,“這會被惡意軟件利用來繞過此類防火墻嗎?答案是顯而易見的,,而且輕而易舉,?!?/p>
Wardle在回答自己的問題時,附上了簡單的圖示(下圖),,演示了惡意軟件如何通過將應(yīng)用程序中的數(shù)據(jù)直接發(fā)送到互聯(lián)網(wǎng)而不是使用防火墻或VPN首先確認(rèn)或拒絕流量是否合法來利用此問題,。
Wardle認(rèn)為蘋果公司知道允許這種功能進(jìn)入操作系統(tǒng)最終版本的風(fēng)險,Wardle發(fā)布了一段蘋果公司支持文檔的摘錄,,其中強(qiáng)調(diào)了出于隱私和安全原因賦予操作系統(tǒng)監(jiān)視和篩選網(wǎng)絡(luò)流量的能力的重要性,。
迫于越來越多的用戶抱怨應(yīng)用程序過度采集、使用和共享用戶隱私信息,,蘋果公司最近要求其硬件和設(shè)備的應(yīng)用程序開發(fā)人員必須披露如何與任何“第三方合作伙伴”共享數(shù)據(jù),,其中包括分析工具、廣告網(wǎng)絡(luò),、第三方SDK或其他外部供應(yīng)商,。
但是,顯然蘋果公司為應(yīng)用程序安全設(shè)置了雙重標(biāo)準(zhǔn),,在Big Sur中選擇給自家應(yīng)用程序“留了后門”,。Momentum Works的開發(fā)商兼高級工程師Sean Parsons(@seanparsons)發(fā)推文說:“對蘋果公司來說是一套規(guī)則,對其余的‘農(nóng)民’則是另一套規(guī)則,?!?/p>
VPN和防火墻繞過并不是Big Sur用戶報告的唯一問題。MacRumors論壇的一位用戶曾發(fā)帖聲稱“大量的2013年底和2014年年中的13英寸MacBook Pro的用戶,,因為安裝Big Sur導(dǎo)致電腦變磚,,同樣的,來自Reddit和蘋果支持社區(qū)的很多用戶也報告了類似的問題,?!边@也不是蘋果第一次發(fā)布導(dǎo)致部分型號Mac電腦變磚的操作系統(tǒng),今年4月份安全牛曾報道過macOS Catalina10.15.4的版本更新可導(dǎo)致某些型號的Mac電腦系統(tǒng)崩潰,、USB-C端口失去響應(yīng)甚至變磚,。