1 pontos por GN⁺ 2024-10-17 | 1 comentários | Compartilhar no WhatsApp
  • A Mullvad informou que pode ocorrer vazamento de tráfego logo após atualizações do sistema no macOS, e que a solução atualmente confirmada é reiniciar o computador
  • Nessa situação, o firewall do macOS aparentemente não funciona normalmente, fazendo com que as regras de firewall configuradas sejam ignoradas
  • A maior parte do tráfego entra no túnel VPN por causa da tabela de roteamento, mas os apps nem sempre são estruturados para seguir essa tabela
  • Do macOS 14.6 até a beta mais recente do 15.1, alguns apps e serviços da Apple podem enviar tráfego para fora do túnel
  • A Mullvad reportou o problema à Apple e continua investigando possíveis soluções alternativas no nível do app

Condições de vazamento confirmadas após a atualização

  • Pode ocorrer vazamento de tráfego após uma atualização do sistema no macOS
  • No que a Mullvad conseguiu verificar até agora, reiniciar resolve o problema
  • Nesse estado, o firewall do macOS aparentemente não funciona normalmente e ignora as regras de firewall configuradas
  • Por causa da configuração da tabela de roteamento, a maior parte do tráfego entra no túnel VPN
  • No entanto, os apps não são obrigados a seguir a tabela de roteamento, então, se quiserem, podem enviar tráfego para fora do túnel VPN
    • Apps e serviços da própria Apple estão incluídos nesse caso
    • O alcance vai do macOS 14.6 até a beta mais recente do 15.1
  • A Mullvad reportou esse problema à Apple e continua fornecendo informações adicionais e investigando possíveis soluções alternativas no app

Como verificar se você foi afetado

  • Adicione no Terminal uma regra de firewall para bloquear todo o tráfego
echo "block drop quick all" | sudo pfctl -ef -
  • Verifique se há envio de tráfego para fora do túnel VPN
curl https://am.i.mullvad.net/connected
  • Após o teste, desative o firewall e apague todas as regras
sudo pfctl -d
sudo pfctl -f /etc/pf.conf
  • Também é possível verificar se há vazamento no app da Mullvad
    • Confirme que você está em um estado sem conexão com a VPN
    • Verifique a interface padrão
route get mullvad.net | sed -nE 's/.*interface: //p'
  • Conecte-se a um servidor VPN pelo app da Mullvad
  • No comando abaixo, substitua <interface> pela interface identificada na etapa anterior e execute
curl --interface <interface> https://am.i.mullvad.net/connected
  • Em funcionamento normal, a resposta deve indicar que você está conectado à Mullvad ou que não foi possível se conectar ao servidor
  • Se a resposta indicar que você não está conectado à Mullvad, então há vazamento de tráfego

1 comentários

 
GN⁺ 2024-10-17
Opiniões no Hacker News
  • Sempre que eu atualizava o macOS, algumas configurações do sistema voltavam para os padrões, incluindo o firewall, e eu precisava mudar tudo manualmente de novo toda vez
    Depois de algumas vezes em que percebi que instalar ou atualizar macOS ou iOS demorava mais quando havia conexão com a internet, passei a desligar o roteador durante as atualizações
    Com recursos de IA sendo continuamente integrados ao Windows, macOS, Android etc., acho provável que, mesmo durante atualizações, aumentem os uploads de dados pessoais ou downloads de dados do lado do servidor sob o pretexto de “preparar” novos recursos de IA
    Sem internet, o instalador não tem escolha a não ser adiar esse processo, e acho que isso dá tempo até eu mudar as configurações padrão depois da inicialização
    Há mais sobre isso em https://news.ycombinator.com/item?id=26418809 e https://news.ycombinator.com/item?id=26303946

    • Se é preciso até desligar o roteador a cada instalação ou atualização, parece trabalho demais para um sistema operacional pelo qual se pagou
    • O hardware bonito do Mac está sendo muito desperdiçado pelas versões recentes do macOS
    • Fico curioso para saber como é possível instalar uma atualização sem internet
      Há anos as atualizações automáticas continuam falhando com erros do tipo “falha na personalização de software, verifique a internet”. Mesmo com a internet funcionando perfeitamente, para atualizar eu acabava precisando de um live USB e uma conexão Ethernet
    • O macOS redefinir algumas configurações, incluindo o firewall, para os padrões a cada atualização é algo que o Windows também fez por um bom tempo
      Desse ponto de vista, só o Linux era relativamente “limpo”, mas hoje algumas distribuições também começaram a enfiar discretamente elementos com características de spyware. A enshittification dos sistemas operacionais continua
    • Toda vez que faço upgrade do iPhone, o Bluetooth é ligado, e isso é muito irritante
      Como a Apple quer que os clientes usem certos recursos, parece que simplesmente os liga durante o upgrade, e isso é bem desagradável
  • Se você quer uma VPN sem vazamentos, precisa implementá-la no nível do roteador, não dentro do dispositivo. Isso vale para qualquer dispositivo, mas especialmente para os da Apple
    Recomendo fortemente capturar o tráfego no trecho cabeado e analisá-lo no Wireshark. Dá para fazer isso com um roteador ou um tap Ethernet passivo, e você provavelmente verá bastante pacote indo para destinos que não são o ponto de entrada da VPN
    Usar um roteador também permite verificar vazamentos do celular. Se chamadas por Wi-Fi estiverem ativadas, você descobre que o telefone cria uma conexão TCP com o servidor de controle da operadora a cada 30 segundos
    Por exemplo, se você usa T-Mobile e está no exterior, mesmo que nem esteja usando o SIM principal, a operadora recebe logs de todos os IPs de saída que você usa
    O fato de a Apple parecer oferecer suporte a VPN e extensões de filtragem de rede é quase uma isca; ela desativa isso de bom grado para o próprio tráfego
    No iOS, a App Store passa por fora da VPN, e a Apple às vezes até bloqueia downloads de atualização quando você usa VPN. Descobri isso quando estava usando uma VPN no roteador e os downloads de atualização começaram a falhar
    No Mac, o problema é especialmente grande na primeira inicialização. Parece que o Mac não quer estabelecer a VPN até se conectar uma vez fora dela
    Depois de sair do repouso, frequentemente passo pela situação em que um túnel WireGuard sob demanda usando Cloudflare Warp não consegue enviar pacotes. Se eu desconectar o Ethernet, desligar o “sempre ativo”, esperar uns 30 segundos, ligar de novo e reconectar o Ethernet, a conexão volta
    Mas ainda não tenho certeza se realmente não há vazamento nesse processo, então preciso investigar mais

  • Mesmo antes de fazer login, às vezes há vazamento de áudio de abas
    Mesmo com todos os recursos de “restauração” desativados, o macOS “iniciava” o navegador antes do login após uma reinicialização, e conteúdos que estavam pausados antes da reinicialização, ou dias antes, às vezes eram reproduzidos automaticamente
    Depois disso, desativei esse recurso em um nível bem profundo, mas nunca mais confiei nele

    • A Apple parece querer deixar a pilha TCP/IP e o Safari aquecidos com antecedência para usuários que querem resposta imediata
      No longo prazo, ela vai transformar esse favor em crédito para resistir às críticas de que “o Safari é ruim” e, no fim, Apple e Google vão empurrar a internet para uma guerra em que o navegador vira loja de aplicativos
      As duas empresas vencem, conseguem culpar uma à outra e podem incentivar comportamento anticompetitivo enquanto fazem parecer que os interesses de suas respectivas organizações simplesmente coincidiram por acaso
      A internet foi capturada, gamificada, comoditizada e verticalmente integrada por um pequeno número de gigantes
      Dispositivos móveis são, na prática, aparelhos de rastreamento com potencial viciante, e os governos estão tão interessados em usar essas ferramentas vistosas em funções administrativas que não enxergam o perigo de deixar pontos em que lei, tecnologia e negócios se encaixam para abuso sistemático
    • Não consigo pensar em muitos recursos indesejados piores do que um notebook fazer barulho quando você o abre, mas a Apple oferece isso como se fosse uma funcionalidade
    • Não entendo como é possível abrir aplicativos sem nem ter feito login
      Como ele sabe quem é o usuário e quais apps deve abrir? Se é antes do login, fico suspeitando que, na prática, ele faz login automaticamente e apenas não mostra isso na tela
      Parece um bug de segurança bem grande, e é estranho que isso não seja explorado
      Isso me lembra de quando, no passado, ao receber uma chamada do FaceTime, o iPhone ligava a câmera e enviava vídeo para quem chamava mesmo sem você atender
    • Se o FileVault estiver ativado, não sei como isso é possível, e soa basicamente como um bypass de segurança
      Eu achava que, depois de reiniciar e antes de digitar a senha, os dados do usuário ficavam criptografados, então o sistema não deveria saber nada sobre o usuário
      Nesse caso, ele nem deveria saber quais apps estavam abertos antes da reinicialização, e reproduzir som deveria ser ainda mais impossível
    • Algo parecido acontece também em navegadores no iPhone
      Quando você abre o navegador, a última página aberta aparece por um instante, mesmo quando você a fechou cuidadosamente antes de fechar o navegador
      Nunca chegou a causar um grande problema para mim, mas é muito incômodo e, dependendo da situação, poderia virar um problema real
  • A data do artigo aparece como hoje, mas dá a sensação de que li o mesmo texto cerca de um mês atrás

  • Já ouvi dizer que o NixOS é bom, mas, por causa do navegador e dos apps que uso com frequência, ainda acho que preciso de um sistema operacional gráfico
    Quero sair do ecossistema do macOS, mas ele está indo cada vez mais na direção errada. Acho que acabei organizando toda a minha vida digital em torno da Apple

    • No NixOS, a GUI também roda sem problemas. Este comentário também foi enviado de um navegador no NixOS
  • A ideia de que “apps não precisam seguir a tabela de roteamento” é absurda
    Se ela é só uma referência fictícia, não entendo por que criar uma tabela de roteamento e expô-la ao usuário
    Fornecedores deveriam parar de conceder privilégios a si mesmos nos dispositivos dos usuários

    • Também há casos de uso legítimos para vincular um socket a uma interface específica
  • O primeiro boot logo após uma atualização do sistema no macOS é cheio de bugs há muito tempo
    Ele abre um monte de apps que nem estavam abertos antes da atualização; geralmente parecem ser os 5 a 10 apps fechados mais recentemente
    Eram apps totalmente encerrados, e a configuração “Retomar” também estava desativada. Não é uma simples retomada: ele executa os apps como se estivesse mandando criar novas janelas, e isso acontece antes de a montagem dos discos terminar
    Por isso, a cada atualização, os apps que uso com frequência aparecem do nada e dizem que configurações e dados desapareceram
    Ao reiniciar novamente, fica tudo bem, então não é um problema enorme, mas parece descuidado e faz o sistema operacional parecer instável
    O problema do firewall pode não ter relação com isso, mas vamos ver se este caso também faz a Apple corrigir esse bug

    • Parece que ele executa todos os apps que estavam abertos no momento em que você clicou no botão “Atualizar”. Mesmo que a instalação real tenha começado 30 minutos depois, é isso que parece acontecer
    • Não sei bem o que a configuração “Retomar” realmente faz
      É irritante que o Mac acabe reabrindo tudo tantas vezes. Quando procuro uma forma de impedir isso, a resposta é sempre “desative aquela configuração que você já desativou”