Az Apple lehetővé teszi egyes saját alkalmazásai és processzei számára a 3rd party tűzfalak és VPN-ek megkerülését Big Sur-on

Címkék

Biztonsági szakértők szidják az Apple-t amiatt, hogy lehetővé teszi körülbelül 50 Apple alkalmazás és processz számára a 3rd party tűzfalak (Little Snitch, Lulu stb.) és VPN megoldások megkerülését. Ez Patrick Wardle, egykori NSA hacker dokumentálta.

Beginning with macOS Catalina released last year, Apple added a list of 50 Apple-specific apps and processes that were to be exempted from firewalls like Little Snitch and Lulu. The undocumented exemption, which didn't take effect until firewalls were rewritten to implement changes in Big Sur, first came to light in October. Patrick Wardle, a security researcher at Mac and iOS enterprise developer Jamf, further documented the new behavior over the weekend.

Hogy miért probléma ez? Mert malware-fejlesztők kihasználhatják ezeket a whitelist-eket, kivételeket:

To demonstrate the risks that come with this move, Wardle—a former hacker for the NSA—demonstrated how malware developers could exploit the change to make an end-run around a tried-and-true security measure. He set Lulu and Little Snitch to block all outgoing traffic on a Mac running Big Sur and then ran a small programming script that had exploit code interact with one of the apps that Apple exempted. The python script had no trouble reaching a command and control server he set up to simulate one commonly used by malware to exfiltrate sensitive data.

 “Basically, ‘Hey, Mr. Apple Item, can you please send this file to Patrick’s remote server?’ And it would kindly agree. And since the traffic was coming from the trusted item, it would never be routed through the firewall... meaning the firewall is 100% blind.”

Wardle állítja, a problémát még a Big Sur béta fázisában jelezte az Apple-nek, de az nem változtatott ezen a viselkedésen, így a Big Sur végleges kiadásában is így működik:

A Little Snitch tűzfal fejlesztője a "A hole in the wall" blogbejegyzésében morgolódik.

Linkek:

Hozzászólások

Elgondolkodtam rajta, de azt hiszem, ilyen talán még Windowson sincs. Meg azon, hogy ilyen valaha Linuxon előfordulhatna-e.

trey @ gépház

Miért kell minden Apple témájú hozzászólást Fradi-Újpest bináris logikával értelmezni ? "Báncsák az Almát nosza védjük meg!"

Megjegyzem elég sokáig használtam Macintoshokat elsődleges gépnek. Majd sajnos .NET fejlesztés miatt kellett váltanom. Mivel már szinte mindig Windowst kellett bootolnom macbookon elgondolkoztam van-e értelme újra mbp-t választani következő notebooknak. Szerintem higgadt fejjel megérthető miért lett utána inkább Thinkpad. 

Ez a cikk egyebkent sok-sok ferditest tartalmaz szerintem. Legalabbis a leirtak egy reszenek nem talaltam nyomat. Ha elsonek inditok el egy appot, akkor tenyleg megy valami HTTPS hivas az Apple szervereihez (az OCSP hivas mellett), gondolom ez lesz a notarizacio csekkelese. Ez fogja tartalmazni tenylegesen az app hasht. 

Ezek utan amit meg talaltam (es a cikk latszolag errol beszel), minden egyes app elinditasakor egy sima, natur HTTP hivast, ami az ocsp.apple.com cimre megy, ez pedig sima OCSP-nek tunik. Az OCSP pedig HTTP kapcsolaton megy, itt is, mint ahogyan HTTP kapcsolatot hasznalnak erre a browserek is. De meg a JAVA is hasznal OCSP-t.

Fejlesztokent, minden egyes futtathato es elkeszitett binarist keresztul kell zavarni a notarization servicen. Ilyenkor az Apple elmenti az adott elkeszitett binaris hasheit. Ez azert jo, mert a kozelmultban rengeteg olyan malware terjesztes volt, amikor ismert alkalmazas warez valtozataba csempeszett valaki idegen, oda nem illo anyagot, amelyet alairt egy valahonnan szerzett egyeb tanusitvannyal. Ennek a szolgaltatasnak koszonhetoen, ezek a moddolt, viszont ervenyes alairassal rendelkezo tanusitvanyok mar nem fognak elindulni. Alapesetben ez az ellenorzes minden alkalmazasra vonatkozik, viszont a SIP kikapcsolasaval, teljesen ki lehet kapcsolni, tovabba, a System Preferences/Security&Privacy/Privacy/Developer Tools reszen, fel lehet venni olyan alkalmazasokat, amelyekre nem vonatkozik ez az ellenorzes. Pl. felveheto a Terminal.app, igy ha az ember fordit barmit gcc-vel vagy barmivel, akkor az tovabbra is el fog indulni. Ez a menupont alapesetben nem latszik, a lathatova tetelehez mindossze annyi szukseges, hogy legyen feltelepitve az Xcode es legalabb egyszer legyen elinditva.

A sima HTTP hivas (a cikk alapjan ezt keveri egyebkent a cikk iroja), pedig arra jo, amire barhol mashol OCSP-t hasznalnak, az alairasok ellenorzesere. Ha a lejarata elott vissza lett vonva egy fejlesztoi tanusitvany, akkor azt OCSP-vel lehet ellenorizni (amit visszavonhatok en is, mint fejleszto, ha eszrevettem, hogy kikerult, de akar az Apple is). Igy tesz egyebkent a brozerek nagy resze is.

Tehát minderre azért van szükség, mert a store-ba felkerülhet fertőzött cucc?

Abba a store-ba, ami 30%-ot leszed sápként, megmondja, hogy milyen jogi engedélyeket mutass be hogy egyáltalán kikerülhess a piactérre és van, hogy heteket ülnek egy módosítás validálása felett?

Csak én érzem ezt kicsit visszaásnak?

Tehát minderre azért van szükség, mert a store-ba felkerülhet fertőzött cucc?
 

Nem.

Abba a store-ba, ami 30%-ot leszed sápként

15%-ot.

Csak én érzem ezt kicsit visszaásnak?

Mivel láthatólag fogalmad sincs, hogy miről van szó, ezért ez nagyon valószínű.

Kedvezményes 15%, ami az app developerek igen nagy százalékának nagyon-nagy segítség lesz.

Vagy a per miatt, vagy a Covid miatti gazdasági visszaesés miatti segítség a fejlesztőknek, vagy mindkettő, igazából mindegy is. A 15% levonása után maradt 300 millió Ft éves bevételig csak 15% sápot vesz le az Apple, ami elég méltányos az átlag számára, tekintve, hogy azért a százalékért mennyi mindent biztosít az Apple ingyen és bérmentve a fejlesztők részére:

With up to 1PB of free storage for each app, it’s never been easier to build and grow your apps using CloudKit.

https://developer.apple.com/icloud/cloudkit/

Talán arra gondolt a költő, hogy a 15-30%-os díj mellett az "ingyen és bérmentve" furcsán hangzik. Szerintem a 15% (vagy akár a 30) teljesen rendben van, de nem ingyen kapsz dolgokat, hanem pénzért vásároltál egy szolgáltatást.

A közértben sem mondjuk azt, hogy ha befizetsz egy százast, akkor ingyen kapsz egy zacskó zsemlét. :)

1) Már mint nem, nem arról szól, vagy nem kerül malware-es cucc a store-ba?

 

2) „PRESS RELEASE November 18, 2020
Apple announces App Store Small Business Program

New program reduces App Store commission to 15 per cent for small businesses earning up to $1 million per year”

Ja, hogy már 5 napja csak 15%. Bakker, mindjárt hamut szórok a fejemre.

 

3) Tehát akkor szerinted ez így OK?

A Storenak semmi koze ehhez. Ez a Storeon kivuli terjesztesekre vonatkozik. Eddig lehetett digitalis alairas nelkul terjeszteni (ezutan is lehet, de ugy ahogyan eddig, ezentul is korulmenyes lesz ezeknek az elinditasa), es lehet digitalis alairassal terjeszteni (ezeket kotelezo keresztulzavarni a notary szolgaltatason, ami ezen nem megy at, az semmikeppen sem futhat). A storeos terjesztest es ezek ellenorzeset a Store vegzi, ott ezek a dolgok nem jatszanak.

Azt mondja meg valaki, ha tudja a választ, hogy mi volt itt az elképzelés?

Miért jó az, hogy 3rd party tűzfalak szabályait figyelmen kívül hagyják ezek az alkalmazások?

Most mindegy is, hogy ezzel vissza lehet élni. De ha a felhasználó azt mondja, hogy mondjuk nem mehet ki forgalom, vagy a forgalom csak a VPN irányába mehet, akkor miért jó az (kinek jó az), hogy az X apple program által generált forgalom mégis kimehet és nem a VPN felé megy?

Illetve miért csak 3rd party tűzfalak esetén van ez? Mi történik, ha Apple tűzfalat használ az ember (nem ismerem, de feltételezem, hogy van valamiféle beépített tűzfal megoldása). Az apple tűzfalon nem kivételeznek ezekkel az alkalmazásokkal?

disclaimer: ha valamit beidéztem és alá írtam valamit, akkor a válaszom a beidézett szövegre vonatkozik és nem mindenféle más, random dolgokra.

Minden egyes alkalommal, amikor elindit a felhasznalo egy programot, az OS hazatelefonal, es elkuldi a program hash-et, mac addresst, meg egyebeket. Ha Tim engedelyezi, akkor elindulhat. A napokban a C&C server belassult, es a felhasznalok a sajat gepukre telepitett programokat sem tudtak hasznalni, mert nem engedelyezte idoben. (ha nincs neten, fallbackel a cache-elt allapotara, es engedi elinditani ha korabban szabad volt)

Ha tuzfallal tilthatnad a C&C server cimet, vagy VPN-nel kitrukkozhetned, akkor ez a funkcionalitas nem mukodhetne, ami egy tokeletes walled gardenben megengedhetetlen lenne.

When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

– Most te azt mondod, hogy Te azt szeretnéd, hogy bármilyen program elindulhasson a gépen?
– Igen.
– Most te azt mondod, hogy Te azt szeretnéd, hogy bármilyen malicious program elindulhasson a gépen?
– Nem, a védelem legyen opcionális és konfigurálható.

Remélem, folytatod a párbeszédet, és közlöd, hogy a védelem opcionális és konfigurálható-e.

:)

Miutan nalam az AAPL termekei blacklisten vannak, csak rohogni szeretnek. Arra meg tokeletesek. :)

Egyebkent ne mondd, hogy az rendben van, hogy ez a hazatelefonalas VPN-t megkerulve es titkositatlanul kozlekedik. Szoval az ISP-d (vagy ha kikuldetesben vagy valahol, akkor a helyi ISP, szalloda, kormanyzat meg fene tudja meg ki) is tudja, hogy mikor milyen programot inditottal el.

When you tear out a man's tongue, you are not proving him a liar, you're only telling the world that you fear what he might say. -George R.R. Martin

Hát látod, semmi se tökéletes. Az legyen a legnagyobb baj, hogy random free wifi szolgáltató (amit nem használok, mert 1. általában nem free, de legalább nem megbízható, 2. két kattintás a tethering bekapcsolása* mac-ről**. Nem kell szarakodni a telefon elővételével, kényelmesen tudsz csatlakozni mobilnetre épp azzal az eszközzel ami a kezedben van) megtudja, hogy épp elindítottam az XCode-ot. Vagy, hogy az ISP-m azt is tudja rólam, hogy a ${UUID} appot elindítottam 14:53-kor, majd ráfrissítettem a hup.hu-ra 14:54-kor. Jajj, hát ez a világvége. 

*: 

(1. Make sure your iOS or iPadOS device and your Mac are signed in to iCloud with the same Apple ID.)

2. On your Mac, click the Wi-Fi status icon in the menu bar, then choose your iPhone or iPad.**

https://support.apple.com/en-gb/guide/mac-help/mchl7594e36f/mac

Szóval röhöghetsz a random rendszereddel, ami tizedannyira se működik együtt a többi eszközzel, mint az Apple eszközök. De te legalább "biztonságban vagy" :)

**: szemléltetés, miközben a telefon a zsebemben, a MBP az ölemben:

https://www.youtube.com/watch?v=pp65GZxFHy0

Szóval röhöghetsz a random rendszereddel, ami tizedannyira se működik együtt a többi eszközzel, mint az Apple eszközök.

Maradj csak meg ebben a hitedben :) Te fizetsz a kényelemért, mert lusta vagy és nem is fogsz erőfeszítést tenni emiatt azért, hogy ezt a kényelmet elérd némi utánjárással és munkával. És mindjárt jól meg is indoklod, hogy a te időd drága! :D

Te fizetsz a kényelemért, mert lusta vagy és nem is fogsz erőfeszítést tenni emiatt azért, hogy ezt a kényelmet elérd némi utánjárással és munkával.

Ezzel mi a probléma? :)

És mindjárt jól meg is indoklod, hogy a te időd drága! :D

Olyan elképzelhetetlen az, hogy napi 8-10 óra meló után az ember már nem akar szórakozni ezzel? Én is hajlandó vagyok sokszor kifizetni a kényelmet, mert igen, egyrészt lusta vagyok, másrészt meg így is sokszor érzem azt, hogy borzasztóan véges a szabadidőm, és nem gépbuherálással akarom tölteni.

Az, hogy az állítás hamis, a stílus pedig emiatt indokolatlanul lekezelő.

És mielőtt nekiállnátok rávilágítani, hogy dehát az alma ekézésével kezdődött a szál, jelezném, hogy ott nem formáltam véleményt, mert nem értek hozzá olyan szinten, nincs olyan eszközöm, vagdalkozni meg enélkül felesleges. Bár a 10milió szakértő országában ez az álláspont lehet, hogy szélmalomharc :D

Az, hogy az állítás hamis

Lehet, hogy én értettem félre valamit, akkor bocsánat, de:

Én fizetek a kényelemért, mert lusta vagyok és nem is fogok erőfeszítést tenni emiatt azért, hogy ezt a kényelmet elérjem némi utánjárással és munkával.

Rám simán igaz. :D

Te fizetsz a kényelemért, mert lusta vagy és nem is fogsz erőfeszítést tenni emiatt azért, hogy ezt a kényelmet elérd némi utánjárással és munkával.
 

Szívtam eleget Linuxszal a 20-as éveimben, persze akkoriban ráértem a rendszer hiányosságait workaroundolgatni. Tanulásnak elment, produktív munkára viszont alkalmatlan.

És mindjárt jól meg is indoklod, hogy a te időd drága! :D
 

Sajnos nem mindenkinek jött be a szocialista álom és nem a 8 óra munka, 8 óra pihenés, 8 óra szórakozás elve mentén telnek a napjai. Én örülök(?), hogy a te időd olcsó, de nem biztos, hogy célravezető, ha magadból indulsz ki, amikor a többi ember igényeiről beszélgetsz.

Azok a rohadt kapitalisták, hát dolgozni merészelnek, hogy 1-ről a 2-re jussanak ahelyett, hogy kernelt forgatnának, vagy az épp aktuális frissítés után fixálgatnák az újra elrontott rendszerüket...!

Te nyugodtan tegyél erőfeszítést azért, hogy ezt a kényelmet elérd némi utánjárással és munkával, de ha nem gond, a reszelgetés helyett én inkább az ootb megoldást választom, hogy a maradék időben is produktív lehessek.

A múltról beszélsz, de ne is vergődjünk ezen, nincs értelme, eddigi megnyilvánulásaidat látva úgyis csak önigazolásba torkollik. Egyébiránt random rendszerekre utaltál, legközelebb majd tedd hozzá, hogy az nálad a linux! Lehet, hogy nem is arról van szó, amikor a megadott kényelem kis munkával meg utánjárással való eléréséről van szó. :)

Én örülök(?), hogy a te időd olcsó

Sértőnek érezted a lustát? :D Maradjunk abba, hogy valószínűleg nem ismersz, szóval tartózkodjunk az ilyen megjegyzésektől. Az igényeidet meg épp te általánosítottad.

 

 

az épp aktuális frissítés után fixálgatnák az újra elrontott rendszerüket...!

OS update miatt felülcsapott SPI ROM miatt brickelt Apple userek kedvelnék ezt [mármint ha csak a rendszerük menne szét, nem az eszközük :)]. (https://www.youtube.com/watch?v=9tQVQUd94Aw)

BlackY

"Gyakran hasznos ugyanis, ha számlálni tudjuk, hányszor futott le már egy végtelenciklus." (haroldking)

Engem a processzek kivetelezese duhit egy kicsit. Korabban tobbszor jartam olyan helyen (a virus miatt megszuntek ezek a dolgok), ahol bedugva a LAN-t, vagy fellepve WiFi-re, semmilyen szolgaltatas nem erheto el meg a halozaton. Ezutan VPN csatlakozas szukseges, meg az internet eleresehez is. Ezekszerint, sem az iMessage, sem a Facetime szolgaltatas nem hasznalhato ilyen halozaton, mert azt nem lehet a VPN-ek szamara keszitett API-val elteriteni.

Amirol viszont nem talaltam informaciot ezzel kapcsolatban, hogy melyik szolgaltatasokra vonatokzik-ez. Tehat csak az App Storebol telepitett VPN-t nyujto alkalmazasokra, vagy akar a forrasbol forditott OpenVPN-re is. Illetve az OS is rendelkezik beepitetten tamogatassal nehany fajta VPN szolgaltashoz.

Tehát, a megvásárolt hardverem a liszenszelt és bérelt oprendszerem tehet olyat, hogy titkosítatlanul elküldi az oprendszerem írójának, hogy mit akarok indítani akkor is ha van vpn a gépemen és a cég rendszergazdája azt a forgalmat tiltja? 

Mindezt a malware elleni védelem jegyében. Csak nehogy átvegyék mások is ezt a dolgot, mert akkor már vége az egész szabad internetnek. Értem én, hogy sok a malware, de van vírusírtó, meg minden. Plusz a céges környezetben jók lehettek a macintoshok ( most nehéz lesz kimagyarázni, hogy miért is jó ez mindenkinek és miért világmegváltó dolog küldözgetni az interneten, hogy ki mit indított. Persze a megtört routered meg is voccelhet ezáltal...

Rosszul ertelmezed. Titkositatlanul az OCSP ellenorzes megy, amit a brozered is minden egyes hup.hu letolteskor megtesz (pont ugyonugy, HTTP-vel). Nem a hup.hu-t ellenorzi, csak azt, hogy a hup.hu tanusitvanyat nem-e vontak vissza (ahogyan Windowson, ugy Macen is ala vannak irva az alkalmazasok, ennek az alairasnak az idokozbeni visszavonasat ellenorzi minden idintaskor). Amivel kevered, az a titkositva kozlekedo hash ellenorzese az adott appnak, amit viszont csak egyetlen egyszer tesz meg, az app elso inditasakor (ekkor jelenik meg egy ablak, hogy az XYZ alkalmazas az internetrol lett letoltve, biztos, hogy folytatja?).