Trong macOS Big Sur, Apple đã ngừng cho phép một số loại phần mở rộng nhân từ các nhà phát triển bên thứ ba. Điều này đã được mong đợi và điều mà Apple bắt đầu cảnh báo ở Catalina. Cho đến nay, điều này không áp dụng cho tất cả các phần mở rộng hạt nhân, mà chỉ áp dụng cho những phần mở rộng đã nhận được bản sao ở định dạng ‘phần mở rộng hệ thống’ mới của Apple. Đây là một công nghệ an toàn và ổn định hơn để xây dựng trình điều khiển và những thứ khác trước đây được chạy dưới dạng phần mở rộng hạt nhân.
Cho đến nay, đây là những phần mở rộng nhân xử lý phần mềm chống vi-rút, tường lửa các loại, thiết bị đầu vào và trình điều khiển cho các phụ kiện USB. Các loại khác, ít phổ biến hơn vẫn hoạt động, chẳng hạn như hệ thống tệp ảo. Trong tương lai, ý tưởng là các phần mở rộng hạt nhân sẽ bị loại bỏ hoàn toàn.
Điều này có nghĩa là những thay đổi lớn đối với các nhà phát triển, nhưng trong một số lĩnh vực cũng là đối với người dùng của chúng tôi. Điều này đặc biệt áp dụng cho người dùng tường lửa như Little Snitch, dịch vụ VPN và các bộ giới hạn mạng như Tripmode (chỉ cho phép lưu lượng truy cập từ các chương trình đã chọn để bạn không lãng phí dữ liệu giới hạn khi bạn kết nối qua thiết bị di động hoặc 4g modem).
Quy trình của Apple bỏ qua các bộ lọc
Các chương trình như Little Snitch và Tripmode hiện phải sử dụng cái mà Apple gọi là API mở rộng mạng, một giao diện lập trình cung cấp quyền truy cập vào hầu hết các tính năng đã tồn tại trước đây trong phần mở rộng hạt nhân tương ứng. Nhưng điều mà Apple đã không đề cập đến với bất kỳ ai là có một hệ thống với các ngoại lệ có nghĩa là các chương trình này không còn có thể lọc chính xác tất cả các kết nối mạng.
Bạn có thể xem chính danh sách trong tệp /System/Library/Frameworks/NetworkExtension.framework/Versions/A/Resources/Info.plist, trong khóa ‘ContentFilterExclusionList’. Ở đây chúng tôi tìm thấy các quy trình liên quan đến, ví dụ: FaceTime, iMessage, iCloud, Maps và Siri.
David Dudok de Wit, nhà phát triển của Tripmode, viết trên Medium về khám phá này và hậu quả mà nó gây ra cho người dùng. Đặc biệt, đối với Tripmode, điều này có nghĩa là bạn không còn có thể ngăn iCloud đồng bộ hóa và Tin nhắn tải xuống các tin nhắn mới, bao gồm các tệp đính kèm nặng như ảnh và phim. Kết quả là chương trình ít nhiều trở nên vô dụng vì mục đích chính của nó là chặn tất cả các mạng internet, ngoại trừ chương trình quan trọng nhất khi bạn có kết nối đắt tiền.
Objective Development, các nhà phát triển của Little Snitch, cũng viết về khám phá này – và họ coi đó là điều hiển nhiên rằng Apple sẽ sửa chữa nó.
VPN nữa
Các chương trình VPN cũng không còn có thể sử dụng phần mở rộng hạt nhân trong Big Sur nữa. Một số nhà phát triển đã chuyển sang biến thể tiện ích bổ sung hệ thống mới. Nhưng đối với tường lửa, ngoại lệ của Apple cũng áp dụng cho các kết nối VPN. Điều này có nghĩa là FaceTime và nhiều quy trình tích hợp khác có thể tiếp tục giao tiếp với các máy chủ của Apple từ địa chỉ IP công cộng của bạn chứ không phải thông qua đường hầm VPN mà bạn đã kết nối.
Nghiên cứu của riêng chúng tôi cho thấy rằng điều này dường như chỉ áp dụng cho các chương trình VPN sử dụng phần mở rộng hệ thống mới để triển khai giao thức VPN của riêng họ. Ví dụ: khi chúng tôi kết nối qua L2TP / IPsec tích hợp macOS được đặt thủ công thông qua Cài đặt hệ thống, ví dụ: lưu lượng Mac App Store được gửi qua VPN, cũng như với chương trình Windscribe của bên thứ ba. Windscribe có thể kết nối thông qua nhiều giao thức khác nhau như IKEv2 và OpenVPN. Chúng không chạy phần mở rộng hạt nhân nhưng vẫn hoạt động như bình thường.
Cách bảo vệ
Cho đến khi chúng tôi có câu trả lời thẳng thắn từ Apple về việc lọc mạng, vẫn còn một số điều bạn có thể làm để dừng các ứng dụng của Apple.
Phương pháp đầu tiên là tắt các phần của Bảo vệ toàn vẹn hệ thống (SIP) trong macOS, vì vậy bạn có thể sử dụng các phiên bản cũ của Little Snitch, Lilu, Tripmode, v.v. với phần mở rộng hạt nhân. Apple không thể ngăn chúng lọc lưu lượng truy cập của chính họ. Bởi vì điều này làm cho Mac nói chung kém an toàn hơn, nó không phải là thứ chúng tôi đề xuất cho người dùng thông thường, mà là thứ chúng tôi để lại cho các chuyên gia hiểu cách nó hoạt động và những người có thể xử lý các rủi ro.
Điều mà một số bình luận trên Twitter và các nơi khác đã chỉ ra là một bức tường lửa chạy trên thiết bị mà bạn muốn lọc lưu lượng truy cập Internet vẫn có thể không bao giờ đáng tin một trăm phần trăm. Phần mềm độc hại nâng cao đã xâm nhập vào máy tính của bạn luôn có thể tìm cách vượt qua phần mềm của máy tính. Do đó, phương pháp thứ hai là sử dụng tường lửa bên ngoài, ví dụ như một bộ định tuyến nâng cao với tường lửa mã nguồn mở pfSense. Điều này không dễ bắt đầu và gần như không thân thiện với người dùng như Little Snitch hoặc Lulu.
Miles Wolbe tại tinyapps.org mô tả phương pháp thứ ba để chỉnh sửa danh sách ngoại lệ của Apple – đây không phải là phương pháp dễ dàng nhất với tất cả các biện pháp bảo vệ mà Apple đã thêm vào Big Sur.
Nếu bạn không quan tâm đến việc ngăn chặn lưu lượng truy cập của Apple nhưng muốn đảm bảo rằng nó đi qua VPN, thì sẽ dễ dàng hơn một chút. Nếu bộ định tuyến của bạn đã có một ứng dụng khách VPN tích hợp, bạn có thể định cấu hình nó để toàn bộ mạng nằm sau VPN và nếu không, bạn có thể tải xuống một ứng dụng. Bạn cũng có thể kiểm tra xem bộ định tuyến hiện tại của mình có hỗ trợ phần mềm nguồn mở như DD-WRT hoặc OpenWrt hay không, những phần mềm này cũng có ứng dụng khách VPN tích hợp sẵn.
Hy vọng rằng Apple nhận ra vấn đề và khôi phục khả năng lọc tất cả lưu lượng truy cập. Nếu không có gì khác, nó được cho là một sự ép buộc từ nhiều công ty, và nếu có một điều chúng ta có thể tin tưởng, đó là Apple đang suy nghĩ với ví tiền của mình.
Nguồn: internet