В конце прошлого года Apple оказалась в центре скандала, когда независимые разработчики выяснили, что несколько десятков приложений Apple могут обходить брандмауэры и VPN в macOS Big Sur. Эти приложения Apple обходят сетевые расширения и приложения VPN: карты, например, могут напрямую получать доступ к Интернету, минуя любые запущенные фильтры и прокси. Официально компания так и не прокомментировала эту проблему, хотя многие стали опасаться, что такое исключение может негативно сказаться на безопасности Mac. Конечно, если Apple устанавливает правила для приложений, почему она не хочет следовать им сама?
![](https://appleinsider.ru/wp-content/uploads/2021/01/apple_bypass-750x393.png)
Похоже, Apple осознала всю опасность списка избранных приложений
Уязвимость в macOS Big Sur
Как вообще всплыла эта проблема? После того, как некоторые приложения для macOS перестали работать из-за сбоя на серверах Apple в день запуска Big Sur, разработчики попытались заблокировать связь компьютера с этими серверами. Но они обнаружили, что Apple дала своим официальным приложениям право иметь полный доступ к сети даже с настроенным брандмауэром.
Выяснилось, что в macOS Big Sur был добавлен внутренний файл с названием ContentFilterExclusionList, который представляет собой список нескольких приложений и служб Apple, которые могут обходить любой брандмауэр и VPN, установленный на Mac. Среди этих приложений App Store, FaceTime, служба обновления программного обеспечения и даже приложение «Музыка».
Пока остальные приложения подчинялись фаерволлу, приложения Apple успешно его обходили
Хакеры могли создавать вредоносные программы, которые злоупотребляют этими «исключенными элементами» для обхода брандмауэра в своих целях.
Что нового в macOS Big Sur 11.2
Поскольку это могло привести к потенциальным проблемам безопасности и конфиденциальности, Apple удалила этот список исключений из macOS Big Sur 11.2. В новой бете, которая была выпущена вчера, уже нет списка «особенных» приложений, теперь все они подчиняются брандмауэру и VPN.
Другими словами, это означает, что приложения Apple больше не имеют права обходить брандмауэры, и пользователи могут снова отслеживать свой трафик в Интернете.
Однако поскольку macOS Big Sur 11.2 пока доступна только как бета-версия, мы пока не знаем, когда это изменение коснется всех пользователей.
Пока нововведение доступно только в бета-версии
Непонятно, зачем вообще Apple сделала список избранных приложений, которые могут обходить брандмауэр и VPN. Возможно, это связано с нововведениями в macOS Big Sur, где была изменена структура написания расширений ядра. Это в частности привело к проблемам в работе VPN и файрволла, и Apple, похоже, не захотела, чтобы эти сбои сказались на работоспособности ее приложений. А как вы думаете, зачем Apple так сделала? Поделитесь мнением в комментариях или в нашем чате в Telegram.
Apple часто говорит о ценности конфиденциальности и о том, сколько компания делает для защиты своих пользователей от слежки со стороны рекламодателей и остальных. Однако невозможность увидеть и заблокировать весь исходящий трафик с компьютера никоим образом нельзя интерпретировать как улучшение безопасности или защиты конфиденциальности. Видимо, в компании тоже осознали масштаб этой проблемы и поэтому решили убрать привелегии для собственных приложений.
Но стоит помнить, что пока macOS Big Sur 11.2 не вышла для всех, а находится в статусе беты, миллионы Mac по всему миру все еще пропускают приложения Apple через брандмауэр и VPN. Есть способы самостоятельно «восстановить справедливость» — использовать внешний межсетевой экран или VPN-клиент на маршрутизаторе, но для этого нужно иметь соответствующие навыки. Пожалуй, проще подождать, когда Apple выкатит новую версию macOS Big Sur для всех.