Apple se enfrenta a la presión por una nueva función en macOS Big Sur que permite que muchas de sus propias aplicaciones eludan los firewalls y las VPN, lo que potencialmente permite que el malware aproveche la misma deficiencia para acceder a datos confidenciales almacenados en los sistemas de los usuarios y transmitirlos a servidores remotos. .
El problema fue detectado por primera vez el mes pasado por un usuario de Twitter llamado Maxwell en una versión beta del sistema operativo.
«Algunas aplicaciones de Apple omiten algunas extensiones de red y aplicaciones VPN», tuiteó Maxwell . «Maps, por ejemplo, puede acceder directamente a Internet sin pasar por cualquier NEFilterDataProvider o NEAppProxyProviders que tenga en ejecución».
Pero ahora que el fabricante del iPhone lanzó la última versión de macOS al público el 12 de noviembre, el comportamiento no ha cambiado, lo que generó preocupaciones de los investigadores de seguridad, que dicen que el cambio está listo para el abuso.
De particular interés es la posibilidad de que la omisión pueda dejar los sistemas macOS abiertos a ataques, sin mencionar la incapacidad de limitar o bloquear el tráfico de red a discreción de los usuarios.
Según el investigador de seguridad de Jamf Patrick Wardle , las 50 aplicaciones y procesos específicos de Apple de la compañía han sido exentos de firewalls como Little Snitch y Lulu.
El cambio en el comportamiento se produce cuando Apple desaprobó el soporte para Network Kernel Extensions el año pasado a favor del Network Extensions Framework.
«Anteriormente, se podía implementar un firewall macOS completo a través de Network Kernel Extension (KEXT)», señaló Wardle en un tweet en octubre. «Apple desaprobó los kexts, dándonos extensiones de red … pero aparentemente (muchas de sus aplicaciones / demonios evitan este mecanismo de filtrado»).
NEFilterDataProvider hace posible monitorear y controlar el tráfico de red de Mac optando por «pasar o bloquear los datos cuando recibe un nuevo flujo, o puede pedirle al sistema que vea más datos del flujo en la dirección de entrada o salida antes de realizar una decisión de aprobar o bloquear «.
Por lo tanto, al eludir NEFilterDataProvider, las VPN tienen dificultades para bloquear las aplicaciones de Apple.
Wardle también demostró una instancia de cómo las aplicaciones maliciosas podrían explotar esta omisión de firewall para exfiltrar datos confidenciales a un servidor controlado por un atacante utilizando un simple script de Python que transportaba el tráfico a una aplicación exenta de Apple a pesar de configurar Lulu y Little Snitch para bloquear todas las conexiones salientes una Mac con Big Sur.
Apple aún tiene que comentar sobre los nuevos cambios.
Si bien la motivación de la compañía para hacer sus propias aplicaciones exentas de firewalls y VPN aún no está clara, es posible que sean parte de los » esfuerzos anti-malware (y quizás anti-piratería) de Apple » para mantener el tráfico de sus aplicaciones fuera de los servidores VPN y evitar que se acceda a contenido restringido geográficamente a través de VPN.
