自 11 月 12 日發布 macOS Big Sur 以來,蘋果公司因決定允許默認蘋果應用程序以繞過第三方防火牆和虛擬專用網絡的方式與其服務器通信而受到強烈反對。
人們普遍認為 macOS 是一個更適合消費者數據隱私和安全的平台,因此蘋果更新的操作系統以可能影響 VPN 用戶的方式發回侵入性遙測數據似乎適得其反。
消費者有能力隱藏他們的位置來自在線服務(包括蘋果自己的應用程序)的隱私對於大量重視隱私的人來說非常重要。
為了讓 VPN 能夠提供這種隱私,至關重要的是,在聯網過程中的任何階段都不能在 VPN 隧道之外收集可識別的用戶數據。不幸的是,Big Sur 推出的更改可能允許在某些情況下發生這種跟踪 - 導致人們對 Big Sur 上使用 VPN 的擔憂。
大蘇爾:有問題的更新
問題圍繞蘋果決定繞過大蘇爾用戶定義的防火牆規則。這導致 Apple 能夠在 Mac 用戶使用某些 Apple 應用程序時收集他們的信息。
這是令人擔憂的,因為它理論上創建了一個數據跟踪,可以用來確定使用了哪些程序、何時何地。由於這些數據存放在蘋果的服務器上,該公司甚至政府都有可能使用搜查令來訪問這些數據。
這正是 VPN 用戶試圖阻止的跟踪類型,而 Big Sur 故意繞過阻止跟踪功能的想法引起了嚴重關注。甄子丹,創始人兼首席執行官質子 VPN,向ProPrivacy解釋了情況:
阻止第三方防火牆阻止蘋果自己的應用程序和大蘇爾的遙測技術是對用戶不利的舉動,使他們更難控制數據的收集方式。
好消息是 Big Sur 中實施的更新不會影響所有 VPN 防火牆。許多可靠的 VPN 都實現了他們的蘋果電腦VPN應用程序的方式使所有數據都通過 VPN 隧道,即使在終止開關被觸發。
ExpressVPN告訴 ProPrivacy,Mac 用戶無需擔心 Apple 應用程序在 VPN 隧道之外收集任何數據:
我們已經徹底調查了此事,並可以確認 Apple 應用程序無法繞過 macOS 的 ExpressVPN 應用程序並將數據發送到 VPN 隧道之外。該問題主要影響在其網絡擴展框架中使用 macOS 某些 API 的 VPN 應用程序,而 ExpressVPN 則不會。
ExpressVPN
儘管如此,ExpressVPN 告訴我們,他們對蘋果決定將自己的應用程序排除在用戶定義的網絡規則之外感到非常嚴重的擔憂:
我們和整個數字安全行業一樣擔心蘋果的這些變化可能會對用戶隱私和安全產生負面影響。當用戶使用 VPN、防火牆和其他類似工具時,他們完全有權利期望 Apple 不會給予他們自己的流量特權並迴避這些保護。
已測試
Proton VPN 首席執行官 Andy Yen 還告訴我們,該 VPN 已經徹底測試了該問題,以確保只要激活終止開關,其 Mac 客戶端就不會受到影響:
當我們意識到這個問題時,我們立即在 Mac 應用程序上運行了一系列測試,攔截進出測試台機器的所有連接以進行數據包級分析。經過長時間的測試,我們感到滿意的是,如果啟用了終止開關,則沒有數據包可以在 VPN 接口之外進入或離開測試台機器。
據 Yen 稱,適用於 macOS 的 Proton VPN 應用程序不會受到 Big Sur 引起的問題的影響,因為終止開關使用 macOS 數據包過濾器 (PF) 來確保在 VPN 隧道之外無法進行連接。顏解釋道:
PF 的工作級別低於許多應用程序級防火牆,包括 Little Snitch 和其他一些 VPN 應用程序使用的防火牆。這些依賴於 NEFilterDataProvider 和 NEAppProxyProvider 網絡擴展來實現其防火牆規則,Apple 在 Big Sur 中正是繞過這些網絡擴展來防止自己的服務被阻止。
瑞典 VPN 提供商私人VPN還向我們確認他們沒有受到 Big Sur 變化的影響:
我們使用的是 macOS 內置的數據包過濾器 (PFCTL)。這意味著任何應用程序數據包(流量)都不會被排除在我們的防火牆(終止開關)之外。
美國供應商的情況也是如此私人互聯網接入,它告訴我們:
該問題僅影響 macOS 上使用 NetworkExtension API 的 VPN 和防火牆。 PIA Desktop 使用 utun 設備並且不受影響。
痣還告知 ProPivacy 其 Mac 應用程序已經過測試。它使用 PF 成功路由 VPN 隧道內的所有流量:
我們通過另一台機器將 macOS 設備連接到互聯網,我們可以在其中監控進出 macOS 設備的所有網絡流量。然後我們讓應用程序保護設備。我們開始使用 Apple 應用程序,並且無法觀察到任何未加密且流向我們的 VPN 服務器的網絡流量。
雖然 Mulvad 的測試表明 VPN 應用程序可以正常工作,但提供商也很快指出:
沒有人能夠保證 100% 的安全。那是不可能的。然而,理論上,操作系統或 VPN 軟件中的未知錯誤可能隨時出現,提供攻擊媒介或導致洩漏。但我們會仔細評估如何實施安全措施以及依賴哪些操作系統 API,盡最大努力主動緩解這種情況的發生。
需要了解信息
其他 VPN 提供商包括網絡幽靈和衝浪鯊已通知我們,他們已經意識到 Big Sur 的變化所帶來的問題。這些 VPN 提供商目前正在調查是否需要對其 macOS VPN 客戶端的實施進行更改。 Surfshark 的發言人告訴我們:
Surfshark 目前正在測試 Apple 在 Big Sur 中引入的更改的影響,並將根據需要進行調整。
我們從領先 VPN 提供商進行的測試中得知,數據洩漏問題會對使用特定 macOS API 的 macOS VPN 客戶端產生負面影響。因此,任何使用 NEFilterDataProvider 和 NEAppProxyProvider 網絡擴展的 VPN 都可能受到影響。
ProPrivacy 意識到這引起了 VPN 用戶的擔憂,他們迫切想知道哪些 VPN 受到了影響,哪些沒有受到影響。這就是為什麼我們聯繫了市場領先的 VPN 提供商以了解他們的立場。當這些提供商向我們提供明確的答案時,我們將更新這篇文章(可以在本文下方找到列表)。
最終,允許 Apple 應用商店和其他 50 個 Apple 應用繞過用戶定義的互聯網路由規則的決定相當於對隱私的巨大侵犯。
用戶有權控制哪些數據離開他們的設備以及如何離開,任何為其自己的應用程序和遙測提供特權的嘗試都是可惡的。
對於用戶來說不幸的是,蘋果一直認為,除非它能夠控制圍牆花園內的一切,否則它無法保證為用戶提供最佳的體驗。現在看來,蘋果正在尋求將這種精神從硬件和軟件擴展到網絡領域,此舉與它聲稱自己是一個關心用戶隱私的平台的說法背道而馳。
目前已知不受 Big Sur 變化影響的 VPN:
- 質子 VPN
- ExpressVPN
- PIA
- 私人VPN
- 空中VPN
- Hide.me(3.x 版本)
- 北VPN
- 痣