Apple realiza un cambio positivo en la seguridad de «Big Sur» para Mac

Cuando Apple envió macOS Big Sur en noviembre, los investigadores detectaron rápidamente una extraña anomalía en la protección de seguridad del sistema que podría haber dejado las Mac inseguras. Apple ahora parece estar abordando este problema al introducir una solución en la última versión beta pública.

¿Que está mal?

Por alguna extraña razón, Big Sur introdujo un cambio controvertido y potencialmente inseguro que significaba que las aplicaciones de Apple aún podían acceder a Internet incluso cuando un usuario bloqueaba todo el acceso desde esa Mac usando un firewall. Esto no estaba en consonancia con la posición de seguridad tradicional de Apple. Lo que empeoró la situación es que cuando esas aplicaciones (y había 56 en total) accedieron a la red, la red y las aplicaciones de monitoreo del tráfico de usuarios no pudieron monitorear este uso.

Significaba que las aplicaciones de Apple podían acceder a Internet para obtener privilegios de Gatekeeper, mientras que otras aplicaciones no podían, lo que representaba un posible desafío de seguridad, ya que estaban incluidas en ContentFilterExclusionList.

Más tarde se demostró que esta protección podría subvertirse para otorgar a las aplicaciones, incluido el malware, poderes especiales similares. Las aplicaciones no autorizadas podrían ejecutarse en segundo plano, sin pasar por la protección de Getekeeper, incluso cuando el usuario creía que su Mac estaba detrás de un firewall.

Este exploit no era particularmente trivial y representaba una amenaza para la seguridad.

Si está ejecutando la versión pública actual de Big Sur, puede ver la lista usted mismo en el archivo /System/Library/Frameworks/NetworkExtension.framework/Versions/Current/Resources/Info.plist, simplemente busque «ContentFilterExclusionList».

¿Que ha cambiado?

Apple arregló esto en su última versión beta pública, como señaló Patrick Wardle. La compañía eliminó ContentFilterExclusionList de macOS 11.2 Big Sur beta 2, lo que significa que los firewalls y los filtros de actividad ahora pueden monitorear el comportamiento de la aplicación de Apple y también reducen la vulnerabilidad de ataque potencial.

Sabemos por qué Apple intentó esto. Cuando la empresa eliminó el soporte para extensiones de kernel (kexts) de Mac, también creó una nueva arquitectura para admitir extensiones que se basaban en kexts.

Sin embargo, también optó por hacer que sus aplicaciones estuvieran exentas de estos marcos, razón por la cual el software que se basaba en la nueva arquitectura de extensión no podía detectar ni bloquear el tráfico generado.

¿Por qué podría tener sentido eso?

Puedo imaginar algunas razones por las que podría tener sentido permitir que algunas aplicaciones de Apple se ejecuten en algún tipo de modo súper secreto. Específicamente, estoy pensando en FindMy y en lo útil que podría ser si se dejara ejecutar encubiertamente en una Mac perdida o robada. Pero incluso entonces, parece más apropiado (y mucho más en sintonía con la creciente postura de Apple sobre la privacidad y el control del usuario) darles a los usuarios el control de esa interacción, tal vez con algo como un botón «ejecutar en secreto en». Fondo y resistir firewalls «.

En el futuro, a medida que Apple avanza hacia la cobertura basada en malla, particularmente para Find My, el desafío que los ingenieros tendrán que resolver es cómo permitir que el tráfico, por ejemplo, encuentre otros dispositivos Apple o comparta información sobre su ubicación, para estar seguros. .y protegido. mantenido como un proceso de fondo discreto sin generar fricción adicional para el usuario (mensajes de seguridad) y manteniendo la privacidad y la seguridad en toda la cadena.

Tengo la sensación de que esto pudo haber sido un intento en esa dirección, pero el hecho de que podría ser subvertido para irrumpir en la seguridad de Mac es insostenible. Estoy seguro de que Apple buscará mejores soluciones a este problema.

¿Cuándo se actualizará Big Sur?

La edición actual de Big Sur aún no ha implementado esta solución, pero el hecho de que ahora esté disponible en la última versión beta pública sugiere que se implementará más ampliamente en las próximas semanas.

Cuando llega, también presenta otra capa útil de protección para Mac M1, que ya no podrá cargar aplicaciones de iOS potencialmente no aprobadas, ya que se habrá eliminado la capacidad de eludir el firewall.

Por favor sígame Gorjeo, o únete a mí en el grupo de bar y parrilla de AppleHolic en MeWe.

Copyright © 2021