Cuando Apple envió macOS Big Sur en noviembre, los investigadores detectaron rápidamente una extraña anomalía en la protección de seguridad del sistema que podría haber dejado a las Mac inseguras.  Apple ahora parece estar lidiando con este problema, presentando una solución en la última versión beta pública.</p><h2>¿Que está mal?</h2><p>Por alguna extraña razón, Big Sur introdujo un cambio controvertido y potencialmente inseguro que significaba que las propias aplicaciones de Apple aún podían acceder a Internet incluso cuando un usuario bloqueaba todo el acceso desde esa Mac usando un cortafuegos.  Esto no estaba en línea con la postura de seguridad tradicional de Apple.  Lo que empeoró las cosas fue que cuando estas aplicaciones (y había 56 en total) accedieron a las aplicaciones de monitoreo del tráfico de Internet, los usuarios y la red no pudieron monitorear este uso.

Esto significaba que las aplicaciones de Apple podían acceder a Internet para obtener privilegios de Gatekeeper, mientras que otras aplicaciones no podían, lo que planteaba un problema de seguridad potencial ya que estaban incluidas en ContentFilterExclusionList.

Luego se demostró que esta protección podía revertirse para otorgar a las aplicaciones, incluido el malware, poderes especiales similares. Las aplicaciones maliciosas pueden ejecutarse en segundo plano, sin pasar por la protección de Getekeeper, incluso cuando el usuario piensa que su Mac está protegida por un firewall.

Esta hazaña no fue particularmente trivial y planteó una amenaza para la seguridad.

Si está ejecutando la versión pública actual de Big Sur, puede ver la lista por sí mismo en el archivo /System/Library/Frameworks/NetworkExtension.framework/Versions/Current/Resources/Info.plist, simplemente busque “ContentFilterExclusionList”.

¿Qué cambió?

Apple solucionó este problema en su última versión beta pública, como señaló Patrick Wardle. La compañía eliminó ContentFilterExclusionList de macOS 11.2 Big Sur beta 2, lo que significa que los firewalls y los filtros de actividad ahora pueden monitorear el comportamiento de las aplicaciones de Apple y también reducen la potencial vulnerabilidad de ataque.

Sabemos por qué Apple intentó esto. Cuando la empresa eliminó el soporte para extensiones de kernel (kexts) en Mac, también creó una nueva arquitectura para admitir extensiones que se basaban en kexts.

Sin embargo, también optó por crear sus propias aplicaciones sin estos marcos, por lo que el software que se basaba en la nueva arquitectura de extensión no podía detectar ni bloquear el tráfico que generaba.

¿Por qué tendría sentido eso?

Puedo imaginar algunas razones por las que podría tener sentido que algunas aplicaciones de Apple estén habilitadas para ejecutarse en algún tipo de modo súper secreto. Específicamente, estoy pensando en FindMy y en lo útil que podría ser si se deja ejecutándose subrepticiamente en una Mac perdida o robada. Pero incluso entonces, parece más apropiado (y mucho más acorde con la creciente postura de Apple sobre la privacidad y el control del usuario) dar a los usuarios control sobre esa interacción, tal vez con algo así como un botón “ejecutar en secreto en segundo plano y resistir cortafuegos”.

En el futuro, a medida que Apple avanza hacia la cobertura de malla, especialmente para Find My, el desafío que los ingenieros deberán resolver es cómo activar el tráfico: encontrar otros dispositivos Apple o compartir información sobre su ubicación. , por ejemplo, para que se mantenga de forma segura como un proceso en segundo plano discreto sin generar fricciones adicionales para los usuarios (mensajes de seguridad) y para mantener la privacidad y la seguridad en toda la cadena .

Tengo la sensación de que pudo haber sido un intento en esa dirección, pero el hecho de que pueda ser secuestrado en la seguridad de Mac no es viable. Estoy seguro de que Apple buscará mejores soluciones para este tipo de rompecabezas.

¿Cuándo se actualizará Big Sur?

La edición actual de Big Sur aún no ha implementado este parche, pero el hecho de que ahora esté disponible en la última versión beta pública sugiere que se lanzará más ampliamente en las próximas semanas.

Cuando llega, también introduce otra capa útil de protección para Mac M1, que ya no podrá cargar aplicaciones de iOS potencialmente no confiables, ya que se habrá eliminado la capacidad de eludir el firewall.

Síganme en Twitter o únase a mí en el grupo de bar y parrilla de AppleHolic en MeWe.

<p>Copyright © 2021 IDG Communications, Inc.</p>
Share This
A %d blogueros les gusta esto: