Разработчики утилиты Little Snitch для сетевого мониторинга заметили, что в macOS Sequoia есть ошибка, которая позволяет отправлять некоторые запросы мимо зашифрованного DNS-прокси.
В компании рассказали, что в Little Snitch есть функция, которая использует зашифрованное DNS-прокси для всех пользовательских запросов в сети. При этом серверы Little Snitch используются в качестве посредника, чтобы не было прямого соединения между устройством и конечным ресурсом. Для этого важно отправлять запросы именно через DNS-прокси.
В случае с macOS Sequoia оказалось, что не все запросы система отправлет через DNS-прокси. Некоторые из них, особенно сделанные через устаревшие низкоуровневые API, отправляются напрямую. При этом разработчики отмечают, что это не проблема на стороне утилиты Little Snitch, поэтому пользователям других DNS-прокси надо быть более внимательными.
Вместе с этим команда Little Snitch рассказала, как можно воспроизвести ошибку на своём Mac с установленной macOS Sequoia:
-
Активируйте DNS-шифрование в настройках Little Snitch.
-
Запустите Wireshark с фильтром захвата для
port 53. -
Запустите следующий код в Xcode Playground:
import Foundation let domain = "dnsproxytest.com" var result: UnsafeMutablePointer<addrinfo>? let status = getaddrinfo(domain, nil, nil, & result)После этого будет видно, что поиск для dnsproxytest.com в аналитике Wireshark отмечен как незашифрованный. Также будет видно, что система мониторинга трафика Little Snitch ничего не показывает, потому что запросы обходят фильтр.
Разработчики проекта отправили сообщение об ошибке Apple и пока ждут ответ. При этом некоторые пользователи сообщают, что заметили эту ошибку ещё в macOS Sonoma 14.5.
ссылка на оригинал статьи https://habr.com/ru/articles/844310/
Добавить комментарий