2020年10月23日 08時00分ソフトウェア

macOS Big SurからはApple製アプリの通信をファイアウォールで制御できないことが判明

ファイアウォールはPCとインターネットの通信を監視・制御することでPCのセキュリティを高めてくれるものですが、macOS Big SurではApple製アプリがファイアウォールを回避して勝手に通信を行ってしまうとTwitterで報告が上がっています。

This is true ????

Previously, a comprehensive macOS firewall could be implemented via a Network Kernel Extension (kext)

Apple deprecated kexts, giving us Network Extensions....but apparently (many of) their apps / daemons bypass this filtering mechanism.

Are we ok with this!? https://t.co/rYkDnuOgLJ
— patrick wardle (@patrickwardle) 2020年10月20日

これまで、macOS用のファイアウォールアプリはカーネル拡張を利用して実装されており、macOS内のアプリとインターネット間の全ての通信を監視・制御することが可能でした。このカーネル拡張はセキュリティや安定性を確保するために2020年秋リリース予定のmacOS Big Surにて廃止されることが予定されており、その代わりとしてユーザー空間で動作するDriverKitが導入されています。

これを受けて、サードパーティーによるmacOS向けのファイアウォールアプリはDriverKitを利用するようにアップデートされている訳ですが、DriverKitを利用したファイアウォールアプリはApple製アプリの通信を監視できないことが判明しました。

セキュリティ研究者のpatrick wardleさんによると、どんなにファイアウォールアプリ側で工夫をこらしてもトラフィックを確認できず、したがって通信の制御なども行えなかったとのこと。

An example, two macOS firewalls: LuLu and Little Snitch

Despite best efforts (e.g. disabling default rules, creating explicit rules to block, enabling 'deny mode'), Apple's App Store appears to be exempt ...the firewalls never even see its traffic, and thus cannot block!? ???? pic.twitter.com/3fwmwRXuJ9
— patrick wardle (@patrickwardle) October 20, 2020

ファイアウォールの例外として設定されているアプリはFaceTimeやApp Storeなど56個で、完全なリストは「/System/Library/Frameworks/NetworkExtension.framework」内の「Info.plist」で確認可能とのこと。macOS Big Sur以降、リストに記載されている56個のアプリによる通信をサードパーティー製のアプリから確認することは一切出来なくなることになりそうです。

この記事のタイトルとURLをコピーする