Big Sur: Apple erlaubt wieder Firewall-Filter für Systemdienste

Die aktuelle Beta 2 der MacOS-Version 11.2 alias Big Sur hat die sogenannte Content Filter Exclusion List entfernt. Darauf weist der Firewall-Entwickler Patrick Wardle in seinem Patreon-Blog hin. Wie der Name bereits andeutet, hat Apple über diese Liste Ausnahmen von Firewall-Regeln für seine eigenen Systemdienste definiert, so dass diese eben Netzwerkverkehr an der Firewall vorbei senden und empfangen konnten. Das geht künftig wohl nicht mehr.

Apple stellt damit im Prinzip die Funktionalität von früheren Versionen von MacOS wieder her. Technische Grundlage der Änderung war der Verzicht von Apple auf sogenannte Kernel-Extensions (Kext). Dabei handelt es sich eigentlich um eine Sicherheitsvorkehrung, da damit die Angriffsfläche auf den MacOS-Kernel deutlich verringert wird. Allerdings waren von dieser Änderung eben auch Firewalls betroffen, die als Netzwerkerweiterungen umgesetzt wurden.

Als Alternative zu der Technik der Erweiterungen hat Apple ein eigenes Filter-Framework vorgestellt, das explizit zur Nutzung von Firewalls vorgesehen ist. Von diesem Framework waren wie erwähnt die eigenen Systemdienste aber in Big Sur ausgenommen. Für größere Probleme hat das im November 2020 gesorgt, als der Dienst Trustd offenbar Probleme damit hatte, sich mit den OCSP-Servern von Apple zu verbinden, was zu zahlreiche Fehlern beim Programmstart führte. Die einfache Lösung dafür war, einfach ausgehende Verbindungen von Trustd über die Firewall zu blockieren. Das ging aber eben nicht mehr auf den aktuellen Versionen von MacOS.

Der Entwickler Wardle hatte darüber hinaus bereits einen Weg gefunden, wie Malware über die Ausnahmen von Apple die Filterregeln von Firewalls wie Little Snitch umgehen kann. Die als Sicherheitsvorkehrung gedachte Technik wird damit ad absurdum geführt. Derartige Probleme wurden nun aber von Apple behoben, da das Unternehmen auf seine Ausnahmen verzichtet und Firewalls wieder eine vollständige Filterung des gesamten Netzwerkverkehrs ermöglicht.