macOS 11: Apple rudert bei Firewall-Umgehung offenbar zurück
Lokale Firewalls können Apple-Dienste in macOS 11 nicht mehr blockieren. Nach Beschwerden scheint Apple seine Ausschlussliste zu streichen.
Apple nimmt eine umstrittene Neuerung von macOS 11 offenbar zurück: Eine bislang in das Betriebssystem integrierte Ausschlussliste, mit der der Hersteller eigene Netzwerkdienste von einer Filterung durch lokale Firewalls ausnimmt, wird offenbar gestrichen. Programme wie die Firewall Little Snitch oder das Datenspar-Tool Trip Mode sind dadurch in macOS 11 Big Sur nicht länger in der Lage, einen Großteil der Apple-Dienste zu blockieren – ein Ärgernis für Nutzer ebenso wie für die Entwickler.
Malware kann Apples Ausschlussliste missbrauchen
Ein Sicherheitsforscher machte zudem darauf aufmerksam, dass Malware Apples Ausschlussliste missbrauchen kann, um unbemerkt nach Hause zu telefonieren. Er habe problemlos ein Tool schreiben können, dass sich huckepack an einen der ausgenommenen Apple-Dienste hängt und so durch lokale Firewalls unbemerkt und unblockiert zu einem eigenen Server Kontakt aufnehmen konnte, warnte der Sicherheitsforscher Patrick Wardle schon im vergangenen November.
In der jüngsten Beta 2 von macOS 11.2 wurde Apples Ausschlussliste ("Content Filter Exclusion List") plötzlich komplett entfernt, erklärte Wardle nun. Seine eigene Firewall LuLu könne wieder sämtlichen Netzwerkverkehr einsehen und blockieren. Auch beim Little-Snitch-Entwickler Objective Development wird betont, dass die eigene Firewall ab macOS 11.2 "wieder zuverlässig jeden Netzwerkverkehr anzeigen und filtern" kann. Apple selbst hat sich zu der Problematik bislang nicht geäußert.
Ausschlussliste greift erst in Big Sur richtig
Schon seit macOS 10.15 Catalina setzt Apple über 50 seiner eigenen Apps und Dienste auf die besagte Ausschlussliste. Sie macht deren Netzwerkaktivitäten für Dritt-Apps unsichtbar, die etwa Apples neue Network Extensions NEFilterDataProvider und NEAppProxyProviders einsetzen. In macOS 10.15 greift die Ausschlussliste meist noch nicht, weil lokale Firewalls mit einer Kernel-Erweiterung tiefer in das System eingreifen können. Kernel-Extensions gelten bei Apple aber als abgekündigt und lassen sich in macOS 11 nur noch eingeschränkt und mit zusätzlichem Aufwand weiter verwenden, entsprechend müssen Firewalls und andere Tools auf die neuen Netzwerk-Erweiterungen umrüsten.
(lbe)