自 11 月 12 日发布 macOS Big Sur 以来,苹果公司因决定允许默认苹果应用程序以绕过第三方防火墙和虚拟专用网络的方式与其服务器通信而受到强烈反对。
人们普遍认为 macOS 是一个更适合消费者数据隐私和安全的平台,因此苹果更新的操作系统以可能影响 VPN 用户的方式发回侵入性遥测数据似乎适得其反。
消费者有能力隐藏他们的位置来自在线服务(包括苹果自己的应用程序)的隐私对于大量重视隐私的人来说非常重要。
为了让 VPN 能够提供这种隐私,至关重要的是,在联网过程中的任何阶段都不能在 VPN 隧道之外收集可识别的用户数据。不幸的是,Big Sur 推出的更改可能允许在某些情况下发生这种跟踪 - 导致人们对 Big Sur 上使用 VPN 的担忧。
大苏尔:有问题的更新
问题围绕苹果决定绕过大苏尔用户定义的防火墙规则。这导致 Apple 能够在 Mac 用户使用某些 Apple 应用程序时收集他们的信息。
这是令人担忧的,因为它理论上创建了一个数据跟踪,可以用来确定使用了哪些程序、何时何地。由于这些数据存放在苹果的服务器上,该公司甚至政府都有可能使用搜查令来访问这些数据。
这正是 VPN 用户试图阻止的跟踪类型,而 Big Sur 故意绕过阻止跟踪功能的想法引起了严重关注。甄子丹,创始人兼首席执行官质子VPN,向ProPrivacy解释了情况:
阻止第三方防火墙阻止苹果自己的应用程序和大苏尔的遥测技术是对用户不利的举动,使他们更难控制数据的收集方式。
好消息是 Big Sur 中实施的更新不会影响所有 VPN 防火墙。许多可靠的 VPN 都实现了他们的苹果电脑VPN应用程序的方式使所有数据都通过 VPN 隧道,即使在终止开关被触发。
ExpressVPN告诉 ProPrivacy,Mac 用户无需担心 Apple 应用程序在 VPN 隧道之外收集任何数据:
我们已经彻底调查了此事,并可以确认 Apple 应用程序无法绕过 macOS 的 ExpressVPN 应用程序并将数据发送到 VPN 隧道之外。该问题主要影响在其网络扩展框架中使用 macOS 某些 API 的 VPN 应用程序,而 ExpressVPN 则不会。
ExpressVPN
尽管如此,ExpressVPN 告诉我们,他们对苹果决定将自己的应用程序排除在用户定义的网络规则之外感到非常严重的担忧:
我们和整个数字安全行业一样担心苹果的这些变化可能会对用户隐私和安全产生负面影响。当用户使用 VPN、防火墙和其他类似工具时,他们完全有权利期望 Apple 不会给予他们自己的流量特权并回避这些保护。
已测试
Proton VPN 首席执行官 Andy Yen 还告诉我们,该 VPN 已经彻底测试了该问题,以确保只要激活终止开关,其 Mac 客户端就不会受到影响:
当我们意识到这个问题时,我们立即在 Mac 应用程序上运行了一系列测试,拦截进出测试台机器的所有连接以进行数据包级分析。经过长时间的测试,我们感到满意的是,如果启用了终止开关,则没有数据包可以在 VPN 接口之外进入或离开测试台机器。
据 Yen 称,适用于 macOS 的 Proton VPN 应用程序不会受到 Big Sur 引起的问题的影响,因为终止开关使用 macOS 数据包过滤器 (PF) 来确保在 VPN 隧道之外无法进行连接。颜解释道:
PF 的工作级别低于许多应用程序级防火墙,包括 Little Snitch 和其他一些 VPN 应用程序使用的防火墙。这些依赖于 NEFilterDataProvider 和 NEAppProxyProvider 网络扩展来实现其防火墙规则,Apple 在 Big Sur 中正是绕过这些网络扩展来防止自己的服务被阻止。
瑞典 VPN 提供商私人VPN还向我们确认他们没有受到 Big Sur 变化的影响:
我们使用的是 macOS 内置的数据包过滤器 (PFCTL)。这意味着任何应用程序数据包(流量)都不会被排除在我们的防火墙(终止开关)之外。
美国供应商的情况也是如此私人互联网接入,它告诉我们:
该问题仅影响 macOS 上使用 NetworkExtension API 的 VPN 和防火墙。 PIA Desktop 使用 utun 设备并且不受影响。
痣还告知 ProPivacy 其 Mac 应用程序已经过测试。它使用 PF 成功路由 VPN 隧道内的所有流量:
我们通过另一台机器将 macOS 设备连接到互联网,我们可以在其中监控进出 macOS 设备的所有网络流量。然后我们让应用程序保护设备。我们开始使用 Apple 应用程序,并且无法观察到任何未加密且流向我们的 VPN 服务器的网络流量。
虽然 Mulvad 的测试表明 VPN 应用程序可以正常工作,但提供商也很快指出:
没有人能够保证 100% 的安全。那是不可能的。然而,理论上,操作系统或 VPN 软件中的未知错误可能随时出现,提供攻击媒介或导致泄漏。但我们会仔细评估如何实施安全措施以及依赖哪些操作系统 API,尽最大努力主动缓解这种情况的发生。
需要了解信息
其他 VPN 提供商包括网络幽灵和冲浪鲨已通知我们,他们已经意识到 Big Sur 的变化所带来的问题。这些 VPN 提供商目前正在调查是否需要对其 macOS VPN 客户端的实施进行更改。 Surfshark 的发言人告诉我们:
Surfshark 目前正在测试 Apple 在 Big Sur 中引入的更改的影响,并将根据需要进行调整。
我们从领先 VPN 提供商进行的测试中得知,数据泄漏问题会对使用特定 macOS API 的 macOS VPN 客户端产生负面影响。因此,任何使用 NEFilterDataProvider 和 NEAppProxyProvider 网络扩展的 VPN 都可能受到影响。
ProPrivacy 意识到这引起了 VPN 用户的担忧,他们迫切想知道哪些 VPN 受到了影响,哪些没有受到影响。这就是为什么我们联系了市场领先的 VPN 提供商以了解他们的立场。当这些提供商向我们提供明确的答案时,我们将更新这篇文章(可以在本文下方找到列表)。
最终,允许 Apple 应用商店和其他 50 个 Apple 应用绕过用户定义的互联网路由规则的决定相当于对隐私的巨大侵犯。
用户有权控制哪些数据离开他们的设备以及如何离开他们的设备,任何为其自己的应用程序和遥测提供特权的尝试都是可恶的。
对于用户来说不幸的是,苹果一直认为,除非它能够控制围墙花园内的一切,否则它无法保证为用户提供最佳的体验。现在看来,苹果正在寻求将这种精神从硬件和软件扩展到网络——这一举动与它声称自己是一个关心用户隐私的平台的说法背道而驰。
目前已知不受 Big Sur 变化影响的 VPN:
- 质子VPN
- ExpressVPN
- PIA
- 私人VPN
- 空中VPN
- Hide.me(3.x 版本)
- 北VPN
- 痣