Druck von außen hat geholfen
Rolle Rückwärts: Netzwerk-Ausnahmen für Apple-Apps fallen weg
Nachdem Apple im Sommer 2019 ankündigte fortan keine traditionellen „Kernel Extensions“ mehr unterstützen zu wollen, waren unter anderem die Anbieter von Firewal-Lösungen betroffen. Während diese die Mac-Betriebssystem bis dahin einfach eine Kernel-Erweiterung zusteckten und anschließend den gesamten Netzwerk-Verkehr überwachen konnten, war man nun auf neue Apple-Schnittstellen angewiesen, um die Apps zur Netzwerk-Überwachung auch weiterhin anbieten zu können.
Hier lieferte Apple dann auch und bot der Entwickler-Community neue Programmier-Schnittstellen an, die diese mit einem alternativen Zugriff auf die Netzwerk-Informationen des Mac versorgten und so für den Fortbestand entsprechender Firewall-Angebote sorgten.
Neue Schnittstellen kamen mit einem Haken
Und damit hätte die Geschichte um den trockenen Technik-Wechsel zu Ende sein sollen – war sie aber nicht: Apple drückte der Entwickler-Community nämlich keinen gleichwertigen Netzwerk-Zugriff in die Hand, sondern einen der Ausnahmen für alle Anwendungen von Apple selbst vorsah. Anders formuliert: Eingeschaltete Firewalls bekamen die Netzwerkzugriffe von Apple-Anwendungen wie dem App Store gar nicht mehr zu Gesicht, da diese von Apples Ingenieuren mit einem Freifahrschein ausgestattet wurden und einen Bogen um die vom Anwender aktivierten Zusatz-Filter machten.
Eine Design-Entscheidung, die wir damals hier kommentiert haben:
- Arrogante Sonderrechte? Apple lässt sich von keiner Firewall aufhalten
Nach der Kritik frustrierter Entwickler, viel schlechter Presse und dem darauffolgenden Aufschrei der Anwender, scheint sich Apple nun besonnen zu haben und verzichtet fortan wohl wieder auf die Netzwerk-Ausnahmen für die eigenen Apps. Dies legt die am Mittwoch-Abend ausgegebene Beta 2 von macOS 11.2 nahe.
The ContentFilterExclusionList list has been removed (in macOS 11.2 beta 2)!!
This means socket filter firewalls (such as LuLu) can now comprehensively monitor & block all network traffic)
Read more: https://t.co/GJXkRA31e7 pic.twitter.com/BZJ2NmkRQm
— patrick wardle (@patrickwardle) January 13, 2021
In dieser fehlt die so genannte ContentFilterExclusionList wieder, die die Freifahrscheine an Apple-Applikationen aushändigte. macOS 11.2 behandelt nun wieder alle Anwendungen gleich.
Ein überfälliger Schritt auf den Anbieter von Netzwerk-Firewalls wie LuLu und Little Snitch gehofft hatten.
Kann hier jemand seine Erfahrungen mit LuLu mal beschreiben?
Keine Probleme, läuft alles super und macht, was man erwartet. Einfach zu konfigurieren und ein besseres Sicherheitsgefühl.
Lulu nutze ich schon seit Jahren, klasse App!
+1
Was ist der Unterschied zu LittleSnitch? Welche Gründe sprechen für Lulu?
Ich dachte Softwarefirewalls wären lediglich eine zusätzliche Tür für einen Angriff auf das System…
Eigentlich ist jede Firewall eine Software-Firewall nur manchmal läuft die Software auf spezieller Hardware. Die Software für Firewalls bitte nicht mit Antivirus-Software verwechseln. ;-)
Wow. :-D Na da haste aber einen Schenkelklopfer rausgehauen. Ich werde es den Produktentwicklern so mitteilen. Bitte nennen Sie Ihre Hardwarefirewall in „Firewall-Software on a seperate Hardware“ um. :-P
Das trifft auf das alte Konzept mittels Kernel-Extensions definitiv zu – diese hatten Root-Rechte auf Kernel-Ebene (da Kernel-Extension). Anwendungen wie Little Snitch haben aktuell (leider) immer noch Root-Prozesse und sind nicht gesandboxed – die Angriffsvektoren haben sich aber reduziert.
Damit ist die Geschichte allerdings immer noch nicht vorbei. Wie der Fall jetzt nämlich zeigt, kann Apple durch die neue API munter entscheiden welchen Traffic die Firewalls sehen und welchen nicht. Auch wenn die Apple Apps nun keine Sonderrechte mehr haben, kann Apple auch in Zukunft unbemerkt an den Firewalls vorbei nach Hause funken und der Anwender wird davon nichts mitbekommen…..
Genau das!
Was jetzt implementiert wird, ist lediglich eine dynamischere und elegantere Version des gleichen Prinzips…
… und bei MS ist auch keinen Deut besser.
Mann kann sich halt !den! einen (von vielen) Teufeln aussuchen, dem man seine Daten in den Rachen wirft, oder einfach alle.
…
Umsonst ist nicht kostenlos … Kostenlos ist nicht umsonst … ;-)
Genau. Und somit ist Apples macOS auch an dieser Stelle nicht mehr besser, als Windows. Werden die Fanboys dies begreifen? Bestimmt nicht.
Auch mein erster Gedanke bei Lesen.
Anderseits, wäre es möglich, eine Datei gleichen Namens zu erstellen und dieser fürs System ein Löschverbot zu geben? Dann kann sie nicht unbemerkt ausgetauscht werden.
Oder eine Routine, die alle X Zeit auf gewisse Dateinamen oder Inhalte scannt und meldet, wenn Apple hinterrücks was vorbeibasteln will.
Nur so eine Idee.
wie ist die Lage eigentlich bei IOS-Schutzprogrammen wie F-Secure Freedome? Könnte oder konnte Apple da vielleicht mitlesen?
LuLu ist ja für kostenfrei funktional geradezu grandios, aber trotzdem ist das Nutzerinterface extrem grottig.