Some apps are "more equal"...
20 oktober 2020 - 19:05   
geplaatst door: puk1980
Discussie op HN

Citaat

Apple's apps bypass firewalls like LittleSnitch and LuLu on macOS Big Sur

Previously, a comprehensive macOS firewall could be implemented via a Network Kernel Extension (kext)

Apple deprecated kexts, giving us Network Extensions....but apparently (many of) their apps / daemons bypass this filtering mechanism.

Are we ok with this!?



antw: Some apps are "more equal"...
20 oktober 2020 - 19:05    reactie #1
geplaatst door: puk1980
Mijn antwoord op de vraag: "Ja hoor, prima wat mij betreft."
antw: Some apps are "more equal"...
21 oktober 2020 - 13:44    reactie #2
geplaatst door: HEXDIY
Software firewalls zoals Little Snitch en Lulu lijken de App Store geenszins te deren!
Ziehier de befaamde Patrick Wardle hierover:


Géén verwijt, gewoon een aanzet tot discussie.
If it ain't broke, don't fix it! Recycle the planet, we're gonna need it! Think different, think twice, Apple!
M1 is a success! Please do not forget Mac OS.
antw: Some apps are "more equal"...
21 oktober 2020 - 14:44    reactie #3
geplaatst door: puk1980
Wat Patrick Wardle aankaart, is dat tools als LS en LuLu vanaf Big Sur buitenspel gezet worden met betrekking tot het monitoren van network activiteit van bepaalde Apple programma's zoals de App Store app.
antw: Some apps are "more equal"...
23 oktober 2020 - 07:42    reactie #5
geplaatst door: jaco123
Zorgelijke ontwikkeling!
Terugdenkend aan college's over de architectuur van Operating Systems zie ik hier een enorme design-blunder....
Ik krijg echt niet bedacht wat Apples achterliggende reden is om een dergelijke bypass te introduceren, iemand een idee?
antw: Some apps are "more equal"...
23 oktober 2020 - 07:57    reactie #6
geplaatst door: puk1980
Er is de nodige discussie over gevoerd in het HN draadje. Ik heb het nog niet allemaal gelezen.
antw: Some apps are "more equal"...
23 oktober 2020 - 07:57    reactie #7
geplaatst door: ouwemac
Wat mij betreft dekt de kop van deze post de lading prima.
Apple kan niet hebben dat hun apps gemonitord worden lijkt het.

George Orwell waar ben je??? :tounge:
Optimistisch maar zonder hoop. (Tommy Wieringa)
antw: Some apps are "more equal"...
23 oktober 2020 - 09:41    reactie #8
geplaatst door: MacFrankie
Little Snitch kan niet alleen op laag niveau verkeer monitoren, maar ook blokkeren. Dat LS dat kan vinden we misschien prima, maar als Google Chrome dat ook kan, dan worden we wat angstiger, en als een stuk malware dat kan, dan is het paniek in de tent.

Dus geen gevecht tussen virus en virusscanner om low level toegang tot het OS, want behalve Apple systeemroutines heeft niemand die toegang. Prima!
Op mijn werk heb ik al Windows, thuis wil ik geen systeembeheerder meer zijn!
antw: Some apps are "more equal"...
23 oktober 2020 - 09:55    reactie #9
geplaatst door: GeorgeM
Little Snitch biedt al een tijd de optie om alle apps die Apple meelevert meteen toestemming te geven, en ik kies ook altijd meteen voor die optie.

Voor de erg achterdochtigen onder ons misschien iets engs, maar installeer Little Snitch maar zonder die optie te kiezen. Dan zie je dat er niet één app van Apple contact probeert te maken dat niet te maken heeft met het functioneren van die app zelf, of een instelling die je zelf gekozen hebt.
antw: Some apps are "more equal"...
15 november 2020 - 07:13    reactie #10
geplaatst door: puk1980
Oeps.




Discussie op HN.
antw: Some apps are "more equal"...
15 november 2020 - 08:45    reactie #11
geplaatst door: HEXDIY
Dit is werkelijk: oeps!
If it ain't broke, don't fix it! Recycle the planet, we're gonna need it! Think different, think twice, Apple!
M1 is a success! Please do not forget Mac OS.
antw: Some apps are "more equal"...
16 november 2020 - 18:39    reactie #12
geplaatst door: puk1980
Nog meer discussie op HN.
antw: Some apps are "more equal"...
16 november 2020 - 18:56    reactie #13
geplaatst door: boiing
Ik kan het niet meer bijhouden, al die waarschuwingen. Ik verwacht dat jij nu even een paniek vs risico samenvatting geeft puk1980 :biggrin: :thumbs-up:.
antw: Some apps are "more equal"...
18 november 2020 - 18:25    reactie #14
geplaatst door: puk1980
@boiing: Ik maak me er vooralsnog niet al te druk om. :smile:

Hier nog een ArsTechnica over hetzelfde onderwerp:

https://arstechnica.com/gadgets/2020/11/apple-lets-some-big-sur-network-traffic-bypass-firewalls/
antw: Some apps are "more equal"...
18 november 2020 - 19:56    reactie #15
geplaatst door: boiing
Dat is een mooie samenvatting :shakehands: :biggrin:. Thanks, gelezen. Ik vind het vooralsnog interessanter om te horen waarom Apple dit doet. Nog geen paniek inderdaad..
antw: Some apps are "more equal"...
18 november 2020 - 20:10    reactie #16
geplaatst door: jaco123
Nee, geen paniek?
Ik zei het al eerder, maar dit slaat echt nergens op. Echt een hele fundamentele fout diep in het OS. Dat zoiets in een beta-versie zit is nog tot daar aan toe, maar dit kun je toch niet serieus zo aan consumenten aanbieden?
We blijven maar even afwachten tot Apple met een verklaring/statement komt. Ik mag hopen dat ze er heel veel resources op hebben zitten om een oplossing voor deze misser te maken.
antw: Some apps are "more equal"...
18 november 2020 - 21:46    reactie #17
geplaatst door: boiing
Citaat
One possibility is that Apple implemented the move to reduce the number of support requests it receives and make the Mac experience better for people not schooled in setting up effective firewall rules. It’s not unusual for firewalls to exempt their own traffic. Apple may be applying the same rationale.
Daar staat al een mogelijke verklaring. Zoals zo vaak zal er vast een reden achter zitten. Of dit ernstig is of niet, dat zal nog wel blijken.
antw: Some apps are "more equal"...
18 november 2020 - 22:20    reactie #18
geplaatst door: Timotheus
In elk geval weer een reden om Big Sur nog niet te gebruiken.
I went there and came back / It was nothing special / The river at high tide / The mountain veiled by misty rain
antw: Some apps are "more equal"...
18 november 2020 - 22:37    reactie #19
geplaatst door: Flix
Waarom niet, Timotheus? Big Sur zal je niet bijten hoor.
antw: Some apps are "more equal"...
18 november 2020 - 22:42    reactie #20
geplaatst door: MacFrankie
Inderdaad, wat discrimineert Big Sur erg zeg! Die geeft een eerlijk stukje malware niet eens een redelijke kans om je Mac te verkloten!
Op mijn werk heb ik al Windows, thuis wil ik geen systeembeheerder meer zijn!
antw: Some apps are "more equal"...
18 november 2020 - 23:01    reactie #21
geplaatst door: jaco123
Daar staat al een mogelijke verklaring. Zoals zo vaak zal er vast een reden achter zitten. Of dit ernstig is of niet, dat zal nog wel blijken.

Tja, gebruikersgemak en veiligheid gaan wel vaker niet samen.

Het gaat overigens niet alleen over firewalls, ook over VPNs. Als je een VPN wenst te gebruiken om je veiliger of niet afgeluisterd te voelen, dan is het op zijn zachtst gezegd "nogal slordig" dat Apple's eigen apps daar zomaar omheen kunnen, dat is niet het idee van een VPN toch?
antw: Some apps are "more equal"...
18 november 2020 - 23:03    reactie #22
geplaatst door: boiing
Mee eens ja, en daarom ben ook ook benieuwd of ze daar een antwoord op hebben. Het is niet wat je verwacht als je een VPN gebruikt.
antw: Some apps are "more equal"...
18 november 2020 - 23:28    reactie #23
geplaatst door: boiing
ProtonVPN laat al weten dat hun app géén verkeer de VPN verbinding laat omzeilen, en legt ook technisch uit waarom:

https://protonvpn.com/blog/big-sur-exclusion-list/

Niet dat ze er blij mee zijn trouwens:

Citaat
This is a concerning development from Apple, a company trying to claim that privacy is its most important product. While claiming to be modernizing macOS with Big Sur, Apple is actually preventing networking app developers from creating extensions that allow them to manipulate the network at the kernel level (the foundations) of its operating system, making it difficult for users to have comprehensive oversight and control of their device’s traffic.

We condemn this secret exclusion list on the grounds that it makes it harder for users to control or even be aware of how their data is being collected.
Goed om te weten dat het dus wel kan blijkbaar, een VPN applicatie zonder 'bypass'. Best kans dat andere VPN fabrikanten hier ook nog wat over zeggen, of laten weten dat het vergelijkbaar werkt.
antw: Some apps are "more equal"...
19 november 2020 - 00:56    reactie #24
geplaatst door: Flix
Het lijkt enkel een probleem te kunnen geven bij 'VPN's that function on a per-app basis', en niet om de VPN interface die via de macOS netwerkinstellingen gebruikt om met een VPN server te tunnelen.