近日,蘋(píng)果公司新推出的macOS操作系統(tǒng)版本Big Sur的一項(xiàng)“新功能”引起了安全人士的關(guān)注和擔(dān)憂。該功能允許某些(約50個(gè))Apple應(yīng)用程序繞過(guò)內(nèi)容過(guò)濾器和VPN。安全專家們認(rèn)為這是一種危險(xiǎn)的做法,攻擊者可以利用這項(xiàng)新功能來(lái)繞過(guò)防火墻,訪問(wèn)人們的系統(tǒng)并暴露其敏感數(shù)據(jù)。
功能性漏洞?
值得注意的是,這個(gè)“漏洞”是蘋(píng)果有意保留的“功能”。早在今年10月份,Big Sur Beta版用戶Maxwell(@mxswd)就在Twitter上指出了這個(gè)問(wèn)題,盡管安全專家對(duì)此表示擔(dān)憂和質(zhì)疑,但蘋(píng)果公司還是在11月12日正式發(fā)布的Big Sur中保留了這一“功能”。
Maxwell在推文中指出:“一些蘋(píng)果應(yīng)用程式可繞過(guò)某些網(wǎng)絡(luò)過(guò)濾擴(kuò)展和VPN應(yīng)用。例如,地圖可以繞過(guò)正在運(yùn)行的任何NEFilterDataProvider或NEAppProxyProviders直接訪問(wèn)互聯(lián)網(wǎng)。”
據(jù)悉,蘋(píng)果公司自己的開(kāi)發(fā)者論壇也對(duì)蘋(píng)果公司繞過(guò)NEFilterDataProvider的做法感到不爽。
50個(gè)“特權(quán)”APP
“我們發(fā)現(xiàn),由于未記錄的Apple排除列表,NEFilterDataProvider無(wú)法查看和控制來(lái)自大約50個(gè)蘋(píng)果APP進(jìn)程的流量。”一位蘋(píng)果開(kāi)發(fā)人員寫(xiě)道:“我們認(rèn)為它有很多弊端,我們已經(jīng)知道這會(huì)對(duì)我們的最終用戶產(chǎn)生負(fù)面影響。”
由于應(yīng)用程序防火墻和VPN都依賴Apple的NEFilterDataProvider過(guò)濾每個(gè)應(yīng)用程序的流量,繞過(guò)NEFilterDataProvider意味著VPN很難阻止蘋(píng)果的應(yīng)用程序。研究人員表示,更糟糕的是,多出來(lái)的旁路可能會(huì)使系統(tǒng)容易受到攻擊。
繞過(guò)防火墻功能可被惡意軟件利用
盡管用戶認(rèn)為蘋(píng)果會(huì)在Bir Sur操作系統(tǒng)正式發(fā)布之前修復(fù)該漏洞,但這似乎并未發(fā)生。Jamf的首席安全研究員Patrick Wardle(@patrickwardle)上周在Twitter上詳細(xì)闡述了該問(wèn)題,演示了惡意軟件如何利用這個(gè)Big Sur公開(kāi)發(fā)布版本中存在的漏洞。
在Big Sur,蘋(píng)果決定賦予許多應(yīng)用程序特權(quán),繞過(guò)啟用第三方防火墻(LuLu、Little Snitch等)的路由。Wardle在推特上發(fā)問(wèn),提出了一個(gè)問(wèn)題,“這會(huì)被惡意軟件利用來(lái)繞過(guò)此類防火墻嗎?答案是顯而易見(jiàn)的,而且輕而易舉。”
Wardle在回答自己的問(wèn)題時(shí),附上了簡(jiǎn)單的圖示(下圖),演示了惡意軟件如何通過(guò)將應(yīng)用程序中的數(shù)據(jù)直接發(fā)送到互聯(lián)網(wǎng)而不是使用防火墻或VPN首先確認(rèn)或拒絕流量是否合法來(lái)利用此問(wèn)題。
Wardle認(rèn)為蘋(píng)果公司知道允許這種功能進(jìn)入操作系統(tǒng)最終版本的風(fēng)險(xiǎn),Wardle發(fā)布了一段蘋(píng)果公司支持文檔的摘錄,其中強(qiáng)調(diào)了出于隱私和安全原因賦予操作系統(tǒng)監(jiān)視和篩選網(wǎng)絡(luò)流量的能力的重要性。
迫于越來(lái)越多的用戶抱怨應(yīng)用程序過(guò)度采集、使用和共享用戶隱私信息,蘋(píng)果公司最近要求其硬件和設(shè)備的應(yīng)用程序開(kāi)發(fā)人員必須披露如何與任何“第三方合作伙伴”共享數(shù)據(jù),其中包括分析工具、廣告網(wǎng)絡(luò)、第三方SDK或其他外部供應(yīng)商。
但是,顯然蘋(píng)果公司為應(yīng)用程序安全設(shè)置了雙重標(biāo)準(zhǔn),在Big Sur中選擇給自家應(yīng)用程序“留了后門”。Momentum Works的開(kāi)發(fā)商兼高級(jí)工程師Sean Parsons(@seanparsons)發(fā)推文說(shuō):“對(duì)蘋(píng)果公司來(lái)說(shuō)是一套規(guī)則,對(duì)其余的‘農(nóng)民’則是另一套規(guī)則。”
VPN和防火墻繞過(guò)并不是Big Sur用戶報(bào)告的唯一問(wèn)題。MacRumors論壇的一位用戶曾發(fā)帖聲稱“大量的2013年底和2014年年中的13英寸MacBook Pro的用戶,因?yàn)榘惭bBig Sur導(dǎo)致電腦變磚,同樣的,來(lái)自Reddit和蘋(píng)果支持社區(qū)的很多用戶也報(bào)告了類似的問(wèn)題。”這也不是蘋(píng)果第一次發(fā)布導(dǎo)致部分型號(hào)Mac電腦變磚的操作系統(tǒng),今年4月份安全牛曾報(bào)道過(guò)macOS Catalina10.15.4的版本更新可導(dǎo)致某些型號(hào)的Mac電腦系統(tǒng)崩潰、USB-C端口失去響應(yīng)甚至變磚。