蘋果移除使自家App繞過MacOS第三方安全工具的方便門
https://www.ithome.com.tw/news/142249
去年研究人員發現MacOS Big Sur允許App Store、FaceTime、Apple Music、Apple Maps
等50多款自家應用程式,可繞過第三方防火牆、VPN等安全工具的檢查,現在蘋果發布Big
Sur新版,移除這項有資安疑慮的方便門設計
新聞
蘋果移除使自家App繞過MacOS第三方安全工具的方便門
去年研究人員發現MacOS Big Sur允許App Store、FaceTime、Apple Music、Apple Maps
等50多款自家應用程式,可繞過第三方防火牆、VPN等安全工具的檢查,現在蘋果發布Big
Sur新版,移除這項有資安疑慮的方便門設計
按讚加入iThome粉絲團
文/林妍溱 | 2021-01-15發表
情境示意圖,Photo by Tim Mossholder on unsplash
蘋果本周釋出macOS Big Sur 11.2 beta 2,移除了去年底被外界發現,可允許蘋果自家A
pp繞過第三方防火牆、VPN等安全工具的爭議功能。
去年10月macOS 11 Big Sur釋出不久,多名研究人員發現,macOS Big Sur內建的網路功
能擴充框架(Network Extension Framework)有圖利自己的嫌疑。這個擴充功能框架旨
在讓第三方安全產品,像是防火牆、VPN等可用來過濾內容和網路流量,以阻擋惡意程式
/流量進出系統。
然而研究人員發現MacOS Big Sur卻在這個框架內加入一項清單ContentFilterExclusionL
ist,使蘋果自家50多款應用程式,包括App Store、FaceTime、Apple Music、Apple Map
s等可繞過這些安全機制的檢查。當時包括Patrick Wardle等安全研究人員即指出,這將
對Mac電腦用戶帶來安全風險,像是防火牆無法過濾流量,若是駭客攻擊蘋果App,將可長
驅直入Mac電腦。此外用戶以蘋果App連接VPN時,VPN無法隱藏用戶的真實IP。
昨日Wardle指出,在新釋出的macOS 11.2 beta 2中,蘋果決定移除這個清單,使所有App
都需經過防火牆等安全產品的檢查,也能獲得VPN的掩護。
蘋果否認這項功能是自肥。蘋果對ZDNet指出,這個清單原本就是暫時性的,因此與其說
是蘋果有什麼企圖,不如說是一隻臭蟲。不過也有安全人員指,從macOS Big Sur測試版
階段就已反映這個問題,但皆不見蘋果回應。