WhiteHat News #ID:2017
VIP Members
-
20/03/2017
-
113
-
356 bài viết
Apple cho phép một số ứng dụng của Big Sur macOS vượt qua tường lửa và VPN
Một tính năng mới trong macOS Big Sur cho phép nhiều ứng dụng của riêng hệ điều hành này vượt qua tường lửa và VPN, từ đó có thể cho phép phần mềm độc hại truy cập vào dữ liệu được lưu trữ trên hệ thống của người dùng và gửi đến các máy chủ từ xa.
Vấn đề lần đầu tiên được phát hiện vào tháng 10/2020 trong phiên bản beta của macOS Big Sur bởi một người dùng Twitter tên là Maxwell.
Theo Maxwell, "Một số ứng dụng của Apple đã vượt qua một số tiện ích mở rộng mạng và Ứng dụng VPN. Ví dụ: Maps có thể trực tiếp truy cập vào internet bằng cách vượt qua bất kỳ NEFilterDataProvider hoặc NEAppProxyProviders nào mà bạn đang chạy".
Nhưng hiện tại với phiên bản macOS mới nhất mà Apple đã phát hành vào ngày 12/11, tính năng này vẫn không được thay đổi khiến các nhà nghiên cứu bảo mật lo ngại vấn đề này sẽ bị kẻ xấu khai thác. Hệ thống macOS có thể tồn tại điểm yếu bị tấn công và người dùng không thể hạn chế hoặc chặn lưu lượng mạng theo ý mình.
Theo nhà nghiên cứu bảo mật Patrick Wardle của công ty Jamf, 50 ứng dụng và tiến trình dành riêng cho Apple của công ty này đã vượt qua được tường lửa như Little Snitch và Lulu.
Sự thay đổi này bắt đầu từ năm 2019 khi Apple ngừng hỗ trợ Network Kernel Extensions để thay thế bằng Network Extensions Framework.
NEFilterDataProvider hỗ trợ việc theo dõi và kiểm soát lưu lượng mạng của Mac bằng cách chọn "chuyển hoặc chặn dữ liệu khi nhận được luồng mới hoặc có thể yêu cầu hệ thống xem thêm dữ liệu của luồng theo hướng outbound hoặc inbound trước khi đưa ra quyết định cho qua hoặc chặn".
Do đó, bằng cách vượt qua NEFilterDataProvider, VPN khó có thể chặn các ứng dụng của Apple.
Wardle cũng đã chứng minh được cách các ứng dụng độc hại có thể khai thác tính năng này để lấy dữ liệu và gửi đến máy chủ do kẻ tấn công kiểm soát bằng cách dùng một tập lệnh Python đơn giản để chuyển lưu lượng truy cập từ một ứng dụng của Apple dù đã cài đặt Lulu and Little Snitch để chặn tất cả các kết nối trên máy Mac chạy Big Sur.
Apple vẫn chưa bình luận về những thay đổi này.
Mặc dù mục đích của Apple khiến ứng dụng của mình vượt qua được tường lửa và VPN vẫn chưa rõ ràng, nhưng đây có thể là một phần trong "nỗ lực chống phần mềm độc hại (và có lẽ là chống vi phạm bản quyền)" của hãng này để ngăn chặn lưu lượng truy cập từ các ứng dụng ra khỏi máy chủ VPN và các nội dung bị giới hạn địa lý có thể bị truy cập thông qua VPN.
Theo Maxwell, "Một số ứng dụng của Apple đã vượt qua một số tiện ích mở rộng mạng và Ứng dụng VPN. Ví dụ: Maps có thể trực tiếp truy cập vào internet bằng cách vượt qua bất kỳ NEFilterDataProvider hoặc NEAppProxyProviders nào mà bạn đang chạy".
Nhưng hiện tại với phiên bản macOS mới nhất mà Apple đã phát hành vào ngày 12/11, tính năng này vẫn không được thay đổi khiến các nhà nghiên cứu bảo mật lo ngại vấn đề này sẽ bị kẻ xấu khai thác. Hệ thống macOS có thể tồn tại điểm yếu bị tấn công và người dùng không thể hạn chế hoặc chặn lưu lượng mạng theo ý mình.
Theo nhà nghiên cứu bảo mật Patrick Wardle của công ty Jamf, 50 ứng dụng và tiến trình dành riêng cho Apple của công ty này đã vượt qua được tường lửa như Little Snitch và Lulu.
Sự thay đổi này bắt đầu từ năm 2019 khi Apple ngừng hỗ trợ Network Kernel Extensions để thay thế bằng Network Extensions Framework.
NEFilterDataProvider hỗ trợ việc theo dõi và kiểm soát lưu lượng mạng của Mac bằng cách chọn "chuyển hoặc chặn dữ liệu khi nhận được luồng mới hoặc có thể yêu cầu hệ thống xem thêm dữ liệu của luồng theo hướng outbound hoặc inbound trước khi đưa ra quyết định cho qua hoặc chặn".
Do đó, bằng cách vượt qua NEFilterDataProvider, VPN khó có thể chặn các ứng dụng của Apple.
Wardle cũng đã chứng minh được cách các ứng dụng độc hại có thể khai thác tính năng này để lấy dữ liệu và gửi đến máy chủ do kẻ tấn công kiểm soát bằng cách dùng một tập lệnh Python đơn giản để chuyển lưu lượng truy cập từ một ứng dụng của Apple dù đã cài đặt Lulu and Little Snitch để chặn tất cả các kết nối trên máy Mac chạy Big Sur.
Apple vẫn chưa bình luận về những thay đổi này.
Mặc dù mục đích của Apple khiến ứng dụng của mình vượt qua được tường lửa và VPN vẫn chưa rõ ràng, nhưng đây có thể là một phần trong "nỗ lực chống phần mềm độc hại (và có lẽ là chống vi phạm bản quyền)" của hãng này để ngăn chặn lưu lượng truy cập từ các ứng dụng ra khỏi máy chủ VPN và các nội dung bị giới hạn địa lý có thể bị truy cập thông qua VPN.
Theo The hacker news