绕过VPN和防火墙？苹果给自家APP留后门

近日，苹果公司新推出的macOS把持系统版本Big Sur的一项“新功能”引起了平安人士的存眷和担忧。该功能许可某些（约50个）Apple应用法式绕过内容过滤器和VPN。平安专家们认为这是一种危险的做法，冲击者能够行使这项新功能来绕过防火墙，接见人们的系统并露出其敏感数据。

值得注重的是，这个“破绽”是苹果有意保留的“功能”。早在本年10月份，Big Sur Beta版用户Maxwell（@mxswd）就在Twitter上指出了这个问题，尽管平安专家对此透露担忧和质疑，但苹果公司照样在11月12日正式发布的Big Sur中保留了这一“功能”。

Maxwell在推文中指出：“一些苹果应用程式可绕过某些收集过滤扩展和VPN应用。例如，地图能够绕过正在运行的任何NEFilterDataProvider或NEAppProxyProviders直接接见互联网。”

据悉，苹果公司本身的斥地者论坛也对苹果公司绕过NEFilterDataProvider的做法感应不爽。

“我们发现，因为未记录的Apple清扫列表，NEFilterDataProvider无法查察和掌握来自傲约50个苹果APP历程的流量。”一位苹果斥地人员写道：“我们认为它有好多毛病，我们已经知道这会对我们的最终用户发生负面影响。”

因为应用法式防火墙和VPN都依靠Apple的NEFilterDataProvider过滤每个应用法式的流量，绕过NEFilterDataProvider意味着VPN很难阻止苹果的应用法式。研究人员透露，更糟糕的是，多出来的旁路或者会使系统轻易受到冲击。

尽管用户认为苹果会在Bir Sur把持系统正式发布之前修复该破绽，但这似乎并未发生。Jamf的首席平安研究员Patrick Wardle（@patrickwardle）上周在Twitter上具体阐述了该问题，演示了恶意软件若何行使这个Big Sur公斥地布版本中存在的破绽。

在Big Sur，苹果决意付与很多应用法式特权，绕过启用第三方防火墙（LuLu、Little Snitch等）的路由。Wardle在推特上发问，提出了一个问题，“这会被恶意软件行使来绕过此类防火墙吗？谜底是显而易见的，并且易如反掌。”

Wardle在回覆本身的问题时，附上了简洁的图示（下图），演示了恶意软件若何经由将应用法式中的数据直接发送到互联网而不是使用防火墙或VPN首先确认或拒绝流量是否正当来行使此问题。

Wardle认为苹果公司知道许可这种功能进入把持系统最终版本的风险，Wardle发布了一段苹果公司支撑文档的摘录，个中强调了出于隐私和平安原因付与把持系统看管和筛选收集流量的能力的主要性。

迫于越来越多的用户埋怨应用法式过度采集、使用和共享用户隐私信息，苹果公司比来要求其硬件和设备的应用法式斥地人员必需流露若何与任何“第三方合作伙伴”共享数据，个中包罗剖析对象、告白收集、第三方SDK或其他外部供给商。

然则，显然苹果公司为应用法式平安设置了双重尺度，在Big Sur中选择给自家应用法式“留了后门”。Momentum Works的斥地商兼高级工程师Sean Parsons（@seanparsons）发推文说：“对苹果公司来说是一套划定，对其余的‘农民’则是另一套划定。”

VPN和防火墙绕过并不是Big Sur用户申报的独一问题。MacRumors论坛的一位用户曾发帖声称“大量的2013岁尾和2014年年中的13英寸MacBook Pro的用户，因为安装Big Sur导致电脑变砖，同样的，来自Reddit和苹果支撑社区的好多用户也申报了雷同的问题。”这也不是苹果第一次发布导致部门型号Mac电脑变砖的把持系统，本年4月份平安牛曾报道过macOS Catalina10.15.4的版本更新可导致某些型号的Mac电脑系统溃逃、USB-C端口失去响应甚至变砖。