Some apps are "more equal"...
geplaatst: 20 oktober 2020 - 19:05
Discussie op HN

Citaat

Apple's apps bypass firewalls like LittleSnitch and LuLu on macOS Big Sur

Previously, a comprehensive macOS firewall could be implemented via a Network Kernel Extension (kext)

Apple deprecated kexts, giving us Network Extensions....but apparently (many of) their apps / daemons bypass this filtering mechanism.

Are we ok with this!?



antw: Some apps are "more equal"...
reactie #1 geplaatst: 20 oktober 2020 - 19:05
Mijn antwoord op de vraag: "Ja hoor, prima wat mij betreft."
antw: Some apps are "more equal"...
reactie #2 geplaatst: 21 oktober 2020 - 13:44
Software firewalls zoals Little Snitch en Lulu lijken de App Store geenszins te deren!
Ziehier de befaamde Patrick Wardle hierover:


Géén verwijt, gewoon een aanzet tot discussie.
geplaatst door: HEXDIY
If it ain't broke, don't fix it! Recycle the planet, we're gonna need it!
Think different, think twice, Apple! It just used to work!
antw: Some apps are "more equal"...
reactie #3 geplaatst: 21 oktober 2020 - 14:44
Wat Patrick Wardle aankaart, is dat tools als LS en LuLu vanaf Big Sur buitenspel gezet worden met betrekking tot het monitoren van network activiteit van bepaalde Apple programma's zoals de App Store app.
antw: Some apps are "more equal"...
reactie #5 geplaatst: 23 oktober 2020 - 07:42
Zorgelijke ontwikkeling!
Terugdenkend aan college's over de architectuur van Operating Systems zie ik hier een enorme design-blunder....
Ik krijg echt niet bedacht wat Apples achterliggende reden is om een dergelijke bypass te introduceren, iemand een idee?
geplaatst door: jaco123
antw: Some apps are "more equal"...
reactie #6 geplaatst: 23 oktober 2020 - 07:57
Er is de nodige discussie over gevoerd in het HN draadje. Ik heb het nog niet allemaal gelezen.
antw: Some apps are "more equal"...
reactie #7 geplaatst: 23 oktober 2020 - 07:57
Wat mij betreft dekt de kop van deze post de lading prima.
Apple kan niet hebben dat hun apps gemonitord worden lijkt het.

George Orwell waar ben je??? :tounge:
geplaatst door: ouwemac
Rawạng kho wid d̂wy ระวังโควิดด้วย. Swasdii Khrab Khun  สวัสดี ครับ คุณ
antw: Some apps are "more equal"...
reactie #8 geplaatst: 23 oktober 2020 - 09:41
Little Snitch kan niet alleen op laag niveau verkeer monitoren, maar ook blokkeren. Dat LS dat kan vinden we misschien prima, maar als Google Chrome dat ook kan, dan worden we wat angstiger, en als een stuk malware dat kan, dan is het paniek in de tent.

Dus geen gevecht tussen virus en virusscanner om low level toegang tot het OS, want behalve Apple systeemroutines heeft niemand die toegang. Prima!
geplaatst door: MacFrankie
Op mijn werk heb ik al Windows, thuis wil ik geen systeembeheerder meer zijn!
antw: Some apps are "more equal"...
reactie #9 geplaatst: 23 oktober 2020 - 09:55
Little Snitch biedt al een tijd de optie om alle apps die Apple meelevert meteen toestemming te geven, en ik kies ook altijd meteen voor die optie.

Voor de erg achterdochtigen onder ons misschien iets engs, maar installeer Little Snitch maar zonder die optie te kiezen. Dan zie je dat er niet één app van Apple contact probeert te maken dat niet te maken heeft met het functioneren van die app zelf, of een instelling die je zelf gekozen hebt.
geplaatst door: GeorgeM
antw: Some apps are "more equal"...
reactie #10 geplaatst: 15 november 2020 - 07:13
Oeps.




Discussie op HN.
antw: Some apps are "more equal"...
reactie #11 geplaatst: 15 november 2020 - 08:45
Dit is werkelijk: oeps!
geplaatst door: HEXDIY
If it ain't broke, don't fix it! Recycle the planet, we're gonna need it!
Think different, think twice, Apple! It just used to work!
antw: Some apps are "more equal"...
reactie #12 geplaatst: 16 november 2020 - 18:39
Nog meer discussie op HN.
antw: Some apps are "more equal"...
reactie #13 geplaatst: 16 november 2020 - 18:56
Ik kan het niet meer bijhouden, al die waarschuwingen. Ik verwacht dat jij nu even een paniek vs risico samenvatting geeft puk1980 :biggrin: :thumbs-up:.
geplaatst door: boiing
antw: Some apps are "more equal"...
reactie #14 geplaatst: 18 november 2020 - 18:25
@boiing: Ik maak me er vooralsnog niet al te druk om. :smile:

Hier nog een ArsTechnica over hetzelfde onderwerp:

https://arstechnica.com/gadgets/2020/11/apple-lets-some-big-sur-network-traffic-bypass-firewalls/
antw: Some apps are "more equal"...
reactie #15 geplaatst: 18 november 2020 - 19:56
Dat is een mooie samenvatting :shakehands: :biggrin:. Thanks, gelezen. Ik vind het vooralsnog interessanter om te horen waarom Apple dit doet. Nog geen paniek inderdaad..
geplaatst door: boiing
antw: Some apps are "more equal"...
reactie #16 geplaatst: 18 november 2020 - 20:10
Nee, geen paniek?
Ik zei het al eerder, maar dit slaat echt nergens op. Echt een hele fundamentele fout diep in het OS. Dat zoiets in een beta-versie zit is nog tot daar aan toe, maar dit kun je toch niet serieus zo aan consumenten aanbieden?
We blijven maar even afwachten tot Apple met een verklaring/statement komt. Ik mag hopen dat ze er heel veel resources op hebben zitten om een oplossing voor deze misser te maken.
geplaatst door: jaco123
antw: Some apps are "more equal"...
reactie #17 geplaatst: 18 november 2020 - 21:46
Citaat
One possibility is that Apple implemented the move to reduce the number of support requests it receives and make the Mac experience better for people not schooled in setting up effective firewall rules. It’s not unusual for firewalls to exempt their own traffic. Apple may be applying the same rationale.
Daar staat al een mogelijke verklaring. Zoals zo vaak zal er vast een reden achter zitten. Of dit ernstig is of niet, dat zal nog wel blijken.
geplaatst door: boiing
antw: Some apps are "more equal"...
reactie #18 geplaatst: 18 november 2020 - 22:20
In elk geval weer een reden om Big Sur nog niet te gebruiken.
geplaatst door: Timotheus
antw: Some apps are "more equal"...
reactie #19 geplaatst: 18 november 2020 - 22:37
Waarom niet, Timotheus? Big Sur zal je niet bijten hoor.
geplaatst door: Flix
antw: Some apps are "more equal"...
reactie #20 geplaatst: 18 november 2020 - 22:42
Inderdaad, wat discrimineert Big Sur erg zeg! Die geeft een eerlijk stukje malware niet eens een redelijke kans om je Mac te verkloten!
geplaatst door: MacFrankie
Op mijn werk heb ik al Windows, thuis wil ik geen systeembeheerder meer zijn!
antw: Some apps are "more equal"...
reactie #21 geplaatst: 18 november 2020 - 23:01
Daar staat al een mogelijke verklaring. Zoals zo vaak zal er vast een reden achter zitten. Of dit ernstig is of niet, dat zal nog wel blijken.

Tja, gebruikersgemak en veiligheid gaan wel vaker niet samen.

Het gaat overigens niet alleen over firewalls, ook over VPNs. Als je een VPN wenst te gebruiken om je veiliger of niet afgeluisterd te voelen, dan is het op zijn zachtst gezegd "nogal slordig" dat Apple's eigen apps daar zomaar omheen kunnen, dat is niet het idee van een VPN toch?
geplaatst door: jaco123
antw: Some apps are "more equal"...
reactie #22 geplaatst: 18 november 2020 - 23:03
Mee eens ja, en daarom ben ook ook benieuwd of ze daar een antwoord op hebben. Het is niet wat je verwacht als je een VPN gebruikt.
geplaatst door: boiing
antw: Some apps are "more equal"...
reactie #23 geplaatst: 18 november 2020 - 23:28
ProtonVPN laat al weten dat hun app géén verkeer de VPN verbinding laat omzeilen, en legt ook technisch uit waarom:

https://protonvpn.com/blog/big-sur-exclusion-list/

Niet dat ze er blij mee zijn trouwens:

Citaat
This is a concerning development from Apple, a company trying to claim that privacy is its most important product. While claiming to be modernizing macOS with Big Sur, Apple is actually preventing networking app developers from creating extensions that allow them to manipulate the network at the kernel level (the foundations) of its operating system, making it difficult for users to have comprehensive oversight and control of their device’s traffic.

We condemn this secret exclusion list on the grounds that it makes it harder for users to control or even be aware of how their data is being collected.
Goed om te weten dat het dus wel kan blijkbaar, een VPN applicatie zonder 'bypass'. Best kans dat andere VPN fabrikanten hier ook nog wat over zeggen, of laten weten dat het vergelijkbaar werkt.
geplaatst door: boiing
antw: Some apps are "more equal"...
reactie #24 geplaatst: 19 november 2020 - 00:56
Het lijkt enkel een probleem te kunnen geven bij 'VPN's that function on a per-app basis', en niet om de VPN interface die via de macOS netwerkinstellingen gebruikt om met een VPN server te tunnelen.
geplaatst door: Flix