0
0
A Apple está enfrentando o calor para um novo recurso no macOS Big Sur que permite que muitos de seus próprios aplicativos contornem firewalls e VPNs, permitindo, assim, que o malware explore a mesma deficiência para acessar dados confidenciais armazenados nos sistemas dos usuários e transmiti-los para servidores remotos.
O problema foi detectado pela primeira vez no mês passado por um usuário do Twitter chamado Maxwell em uma versão beta do sistema operacional.
“Alguns aplicativos da Apple contornam algumas extensões de rede e aplicativos VPN”, tuitouMaxwell . “Os mapas, por exemplo, podem acessar diretamente a internet ignorando qualquer NEFilterDataProvider ou NEAppProxyProviders que você tenha executando.”
Mas agora que a fabricante do iPhone lançou a versão mais recente do macOS para o público em 12 de novembro, o comportamento foi deixado inalterado, provocando preocupações de pesquisadores de segurança, que dizem que a mudança está pronta para abusos.
Nota-se, em particular, a possibilidade de que o bypass possa deixar os sistemas macOS abertos a ataques, sem mencionar a incapacidade de limitar ou bloquear o tráfego de rede a critério dos usuários.
De acordo com o pesquisador de segurança do Jamf Patrick Wardle,os 50 aplicativos e processos específicos da Apple da empresa foram isentos de firewalls como Little Snitch e Lulu.
A mudança de comportamento vem à medida que a Apple preteriu o suporte para extensões de kernel de rede no ano passado em favor do Network Extensions Framework.
“Anteriormente, um firewall macOS abrangente poderia ser implementado via Network Kernel Extension (KEXTs)”, observou Wardle em um tweet em outubro. “A Apple preteriu kexts, nos dando extensões de rede… mas, aparentemente (muitos de seus aplicativos/daemons contornam esse mecanismo de filtragem.”
O NEFilterDataProvider permite monitorar e controlar o tráfego de rede do Mac, optando por “passar ou bloquear os dados quando receber um novo fluxo, ou pode pedir ao sistema para ver mais dados do fluxo na direção de saída ou entrada antes de tomar uma decisão de passe ou bloqueio”.
Assim, contornando o NEFilterDataProvider, torna difícil para as VPNs bloquear aplicativos da Apple.
Wardle também demonstrou uma instância de como aplicativos maliciosos poderiam explorar esse desvio de firewall para exfiltrar dados confidenciais para um servidor controlado por invasores usando um simples script Python que desviava o tráfego para um aplicativo isento da Apple, apesar de definir Lulu e Little Snitch para bloquear todas as conexões de saída em um Mac executando Big Sur.
A Apple ainda não comentou sobre as novas mudanças.
Embora a motivação da empresa para tornar seus próprios aplicativos isentos de firewalls e VPNs ainda não esteja claro, é possível que eles façam parte dos esforços “anti-malware (e talvez anti-pirataria)da Apple ” para manter o tráfego de seus aplicativos fora de servidores VPN e impedir que conteúdo georreferenciado seja acessado através de VPNs.
FONTE: THE HACKER NEWS