1 puntos por GN⁺ 2024-10-17 | 1 comentarios | Compartir por WhatsApp
  • Mullvad indicó que en macOS puede ocurrir una fuga de tráfico justo después de una actualización del sistema, y que por ahora la solución confirmada es reiniciar
  • En esta situación, parece que el firewall de macOS no funciona correctamente y se ignoran las reglas de firewall configuradas
  • La mayor parte del tráfico entra al túnel VPN debido a la tabla de enrutamiento, pero las apps no siempre están diseñadas para seguirla
  • Desde macOS 14.6 hasta la beta más reciente de 15.1, algunas apps y servicios de Apple pueden enviar tráfico fuera del túnel
  • Mullvad reportó el problema a Apple y sigue investigando posibles medidas de mitigación a nivel de la app

Condiciones de la fuga detectadas después de la actualización

  • Puede producirse una fuga de tráfico después de una actualización del sistema de macOS
  • Según lo que Mullvad ha podido confirmar hasta ahora, reiniciar resuelve el problema
  • En este estado, parece que el firewall de macOS no funciona correctamente y omite las reglas de firewall configuradas
  • Debido a la configuración de la tabla de enrutamiento, la mayor parte del tráfico entra en el túnel VPN
  • Sin embargo, las apps no están obligadas a seguir siempre la tabla de enrutamiento, así que si lo desean pueden enviar tráfico fuera del túnel VPN
    • Las apps y servicios propios de Apple están incluidos entre esos ejemplos
    • El alcance va desde macOS 14.6 hasta la beta más reciente de 15.1
  • Mullvad reportó este problema a Apple y continúa proporcionando información adicional e investigando posibles mitigaciones desde la app

Cómo comprobar si estás afectado

  • Agrega en Terminal una regla de firewall para bloquear todo el tráfico
echo "block drop quick all" | sudo pfctl -ef -
  • Verifica si se está enviando tráfico fuera del túnel VPN
curl https://am.i.mullvad.net/connected
  • Después de la prueba, desactiva el firewall y elimina todas las reglas
sudo pfctl -d
sudo pfctl -f /etc/pf.conf
  • También puedes comprobar si hay fuga desde la app de Mullvad
    • Verifica que no estés conectado a la VPN
    • Comprueba la interfaz predeterminada
route get mullvad.net | sed -nE 's/.*interface: //p'
  • Conéctate a un servidor VPN con la app de Mullvad
  • En el siguiente comando, reemplaza <interface> por la interfaz que identificaste en el paso anterior
curl --interface <interface> https://am.i.mullvad.net/connected
  • Si todo funciona correctamente, la respuesta debería indicar que estás conectado a Mullvad o que no se pudo conectar con el servidor
  • Si la respuesta indica que no estás conectado a Mullvad, significa que el tráfico se está fugando

1 comentarios

 
GN⁺ 2024-10-17
Opiniones en Hacker News
  • Cada vez que actualizaba macOS, algunas configuraciones del sistema, incluido el firewall, volvían a sus valores predeterminados, así que tenía que cambiarlas manualmente de nuevo cada vez.
    Después de ver varias veces que, al instalar o actualizar macOS o iOS, si había conexión a internet la instalación tardaba más, ahora apago el router durante las actualizaciones.
    Con funciones de IA integrándose cada vez más en Windows, macOS, Android, etc., parece que incluso durante las actualizaciones aumentarán las subidas de datos personales o las descargas de datos del lado del servidor con el pretexto de “preparar” nuevas funciones de IA.
    Si no hay internet, el instalador no tiene más remedio que posponer ese proceso, y creo que eso da tiempo hasta poder cambiar la configuración predeterminada después de arrancar.
    Hay más publicaciones relacionadas en https://news.ycombinator.com/item?id=26418809 y https://news.ycombinator.com/item?id=26303946

    • Si hay que llegar al punto de apagar el router en cada instalación o actualización, me parece que es demasiado trabajo para un sistema operativo por el que uno pagó.
    • El hermoso hardware de la Mac se está desaprovechando muchísimo por las versiones recientes de macOS.
    • Me pregunto cómo se puede instalar una actualización sin internet.
      Desde hace años, las actualizaciones automáticas me fallaban constantemente con errores como “falló la personalización de software, revisa internet”. Y eso aunque internet funcionara perfectamente; para actualizar, al final necesitaba un USB live y una conexión Ethernet.
    • Eso de que macOS restablezca algunos ajustes, incluido el firewall, a sus valores predeterminados en cada actualización es algo que Windows también hizo durante un tiempo.
      Desde ese punto de vista, solo Linux era relativamente “limpio”, pero últimamente algunas distribuciones también empezaron a meter discretamente elementos tipo spyware. La enshittification de los sistemas operativos continúa.
    • Cada vez que actualizo el iPhone me molesta muchísimo que se active Bluetooth.
      Parece que Apple quiere que sus clientes usen ciertas funciones, así que simplemente las activa durante la actualización, y resulta bastante desagradable.
  • Si quieres una VPN sin fugas, hay que implementarla a nivel de router, no dentro del dispositivo. Eso aplica a cualquier dispositivo, pero especialmente a los de Apple.
    Recomiendo mucho capturar el tráfico en el tramo cableado y pasarlo por Wireshark. Se puede hacer con un router o con un tap Ethernet pasivo, y se verán bastantes paquetes yendo a lugares que no son el punto de entrada de la VPN.
    Si usas un router, también puedes revisar fugas del teléfono. También descubres que, si las llamadas por Wi‑Fi están activadas, el teléfono crea una conexión TCP con el servidor de control del operador cada 30 segundos.
    Por ejemplo, si usas T-Mobile y estás en el extranjero, aunque ni siquiera lo uses como SIM principal, el operador obtiene registros de todas las IP de salida que usas.
    Que Apple parezca admitir VPN y extensiones de filtrado de red es casi un señuelo: cuando se trata de su propio tráfico, no tiene problema en desactivarlas.
    En iOS, la App Store se salta la VPN, y si usas una VPN Apple incluso puede bloquear las descargas de actualizaciones. Lo descubrí usando una VPN en el router, cuando fallaba la descarga de actualizaciones.
    En Mac hay muchos problemas, sobre todo en el primer arranque. Parece que la Mac no quiere levantar la VPN hasta conectarse una vez por fuera de la VPN.
    A menudo me pasa que, después de salir de reposo, un túnel WireGuard bajo demanda que usa Cloudflare Warp no puede enviar paquetes. Si desconecto Ethernet, desactivo “siempre activa”, espero unos 30 segundos, la vuelvo a activar y conecto Ethernet otra vez, entonces se conecta.
    Pero todavía no tengo certeza de que en ese proceso no haya fugas reales, así que tengo que investigarlo más.

  • Incluso antes de iniciar sesión, a veces se filtra el audio de una pestaña.
    Aunque había desactivado todas las funciones de “restauración”, macOS “iniciaba” el navegador antes de iniciar sesión después de reiniciar, y a veces reproducía automáticamente contenido que había quedado en pausa antes del reinicio o incluso días antes.
    Después de eso desactivé esa función bastante a fondo, pero nunca volví a confiar en ella.

    • Parece que Apple quiere precalentar la pila TCP/IP y Safari para usuarios que quieren una respuesta inmediata.
      A largo plazo, convertirá ese favor en crédito para resistir la crítica de que “Safari es malo”, y al final Apple y Google empujarán internet hacia una guerra en la que el navegador se convierta en una tienda de apps.
      Ambas empresas ganan, pueden culparse mutuamente y, aunque incentivan conductas anticompetitivas, pueden hacer que parezca que los intereses de cada organización simplemente coincidieron por casualidad.
      Internet fue capturado, gamificado, mercantilizado e integrado verticalmente por un puñado de gigantes.
      Los dispositivos móviles son, en la práctica, dispositivos de rastreo adictivos, y los gobiernos están tan interesados en usar esas herramientas vistosas para funciones administrativas que no ven el riesgo de dejar desatendidos puntos donde la ley, la tecnología y el negocio se combinan y pueden ser explotados de forma sistemática.
    • No se me ocurren muchas funciones menos deseadas que que suene algo al abrir la laptop, pero Apple lo presenta como si fuera una función.
    • No entiendo cómo es posible abrir aplicaciones sin haber iniciado sesión.
      ¿Cómo sabe quién es el usuario y qué apps debe abrir? Si es antes del inicio de sesión, sospecho que en realidad inicia sesión automáticamente y solo no lo muestra en pantalla.
      Parece un bug de seguridad bastante grande, y me resulta raro que no se explote.
      Me recuerda a aquella vez en que, cuando entraba una llamada de FaceTime, el iPhone encendía la cámara y enviaba video a quien llamaba aunque uno no contestara.
    • Si FileVault está activado, no sé cómo puede ser posible esto, y en la práctica suena como una evasión de seguridad.
      Pensaba que, hasta ingresar la contraseña después de reiniciar, los datos del usuario estaban cifrados, así que el sistema no debería saber nada sobre el usuario.
      Entonces tampoco debería poder saber qué apps estaban abiertas antes de reiniciar, y mucho menos reproducir sonido.
    • En el navegador del iPhone pasa algo parecido.
      Cuando abres el navegador, se ve por un instante la última página que estaba abierta, incluso si la habías cerrado con cuidado antes de cerrar el navegador.
      Nunca me causó un problema grave, pero es muy molesto y, según la situación, también podría convertirse en un problema real.
  • Aunque la fecha del artículo figura como de hoy, tengo la sensación de haber leído el mismo texto hace como un mes

  • He oído que NixOS es bueno, pero por el navegador y las apps que uso con frecuencia todavía pensaba que necesitaba un sistema operativo gráfico
    Quiero salir del ecosistema de macOS, pero cada vez va en peor dirección. Siento que terminé organizando toda mi vida digital alrededor de Apple

    • En NixOS la GUI también funciona sin problemas. Este comentario también lo estoy enviando desde un navegador en NixOS
  • Que “las apps no tengan que respetar la tabla de enrutamiento” es una locura
    Si solo es una ficción de referencia, no entiendo para qué crean una tabla de enrutamiento y la exponen al usuario
    Los proveedores deberían dejar de otorgarse privilegios a sí mismos en los dispositivos de los usuarios

    • También hay casos de uso legítimos en los que hay que vincular un socket a una interfaz específica
  • El primer arranque justo después de una actualización del sistema de macOS lleva mucho tiempo plagado de bugs
    Abre un montón de apps que ni siquiera estaban abiertas antes de actualizar; normalmente parecen ser las últimas 5 a 10 apps que cerré
    Eran apps cerradas por completo, y la opción de “reanudar” también estaba desactivada. No es una simple reanudación: lanza las apps como para que creen ventanas nuevas, y lo hace antes de que termine el montaje del disco
    Por eso, cada vez que actualizo, las apps que uso a menudo aparecen de repente diciendo que desaparecieron sus configuraciones y datos
    Si reinicio de nuevo se arregla, así que no es un problema grave, pero se ve descuidado y hace que el sistema operativo se sienta inestable
    Puede que el problema del firewall no tenga relación con esto, pero habrá que ver si este incidente hace que Apple también corrija ese bug

    • Parece que ejecuta todas las apps que estaban abiertas en el momento en que se presionó el botón de “actualizar”. Aunque la instalación real haya empezado 30 minutos después, así se ve
    • No sé muy bien qué hace realmente la opción de “reanudar”
      Es molesto que la Mac termine reabriendo todo tantas veces. Cuando busco cómo impedirlo, la respuesta siempre es “desactiva esa opción que ya desactivaste”