ProtonVPN препятствует приложениям из списка исключений Big Sur обходить брандмауэр

58c1eafe0e1f3e6f18dd759128a8e119

В продолжении темы об Apple.

В блоге ProtonVPN была опубликовано заявление в свете событий утечки трафика на macOS Big Sur.

Новый macOS Big Sur попал в заголовки газет из-за решения Apple поместить 56 своих приложений, включая FaceTime, Apple Maps и Apple Music Library, без предупреждения в незадокументированный «список исключений». Это означает, что эти приложения могут обходить брандмауэры и, возможно, VPN, которые работают для каждого приложения, без ведома или согласия пользователя, что подрывает безопасность и конфиденциальность устройств на macOS.

Учитывая потенциальное влияние происходящего на конфиденциальность наших пользователей, была немедленно протестирована производительность приложения ProtonVPN на macOS. Мы обнаружили, что управление сетью ProtonVPN не зависит от Big Sur. Наше приложение для macOS работает на системном уровне и не позволяет этим приложениям Apple обходить брандмауэр нашей VPN. Однако мы советуем всем, кто использует наше приложение на macOS, включить Kill Switch для поддержания оптимальной безопасности.

Чем занимается Big Sur

Еще в октябре, когда macOS Big Sur, все еще находилась в стадии бета-тестирования, аналитики ИТ-безопасности обнаружили, что Apple сделала десятки своих сервисов и приложений недоступными для NEFilterDataProvider и NEAppProxyProvider. Брандмауэры вроде Little Snitch на уровне приложения используют NEFilterDataProvider для реализации правил брандмауэра на основе содержимого (т. е. правил брандмауэра, основанных на реальной программе, выполняющей сетевые запросы). По сути, Apple сделала трафик этих приложений невидимым для брандмауэров и пользователей.

Когда 12 ноября 2020 года был выпущен Big Sur, аналитики обнаружили, что Apple не решила эту проблему, что сделало устройства MacOS менее безопасными.

Поскольку Apple исключила трафик своих приложений из NEAppProxyProvider, брандмауэры больше не могут перехватывать и фильтровать сетевой трафик, исходящий от этих служб. Кроме того, эти приложения Apple могут обходить VPN для отдельных приложений, которые зависят от NEAppProxyProvider.

Почему на ProtonVPN не распространяется уязвимость

Подобно другим системным VPN, ProtonVPN не зависит от NEFilterDataProvider или NEAppProxyProvider для управления сетевыми соединениями в VPN-туннеле. Наше приложение использует механизм фильтрации пакетов (ФП) для включения функции Kill Switch. Фильтрация пакетов управляет сетевым уровнем, который находится ниже в сетевом стеке, чем те, которые контролируются NEFilterDataProvider или NEAppProxyProvider. Поэтому ProtonVPN не подвержен данной проблеме. Если Kill Switch включен, он не позволяет вашему устройству устанавливать какие-либо подключения за пределами VPN-туннеля, включая приложения Apple их списка исключений.

Мы провели тесты, которые доказали, что, когда включен Kill Switch, никакой трафик не исключается из зашифрованного VPN-туннеля.

Если Kill Switch отключен, некоторые TCP-запросы, которые были инициированы до того, как был установлен VPN-туннель, сохранятся за пределами VPN-туннеля (аналогично ранее отмеченной ошибке в iOS). По этой причине мы советуем вам включить Kill Switch для поддержания необходимого уровня безопасности.

Это тревожный звонок от Apple — компании, которая кричит на каждом углу, что конфиденциальность является ее самым важным продуктом. Утверждая, что с выходом Big Sur улучшила macOS, сама фактически препятствует разработчикам сетевых приложений создавать расширения, которые позволяют им управлять сетью на уровне ядра (фундамента) своей операционной системы, что усложняет пользователям всесторонний контроль трафика своего устройства.

Мы осуждаем этот скрытый список исключений на том основании, что он усложняет пользователям контроль над тем, как собираются их данные (и даже сам факт об этом).

© Habrahabr.ru