- Mullvad erklärt, dass es unter macOS direkt nach Systemupdates zu Traffic-Leaks kommen kann; die derzeit bestätigte Lösung ist ein Neustart
- In der Problemsituation scheint die macOS-Firewall nicht korrekt zu funktionieren, sodass konfigurierte Firewall-Regeln ignoriert werden
- Der meiste Traffic gelangt wegen der Routing-Tabelle in den VPN-Tunnel, aber Apps sind nicht immer so aufgebaut, dass sie der Routing-Tabelle folgen
- Von macOS 14.6 bis zur aktuellen Beta von 15.1 können einige Apple-Apps und -Dienste Traffic außerhalb des Tunnels senden
- Mullvad hat das Problem an Apple gemeldet und untersucht weiterhin mögliche Workarounds auf App-Ebene
Nach Updates bestätigte Leak-Bedingungen
- Nach einem macOS-Systemupdate kann es zu Traffic-Leaks kommen
- Nach dem aktuellen Kenntnisstand von Mullvad wird das Problem durch einen Neustart behoben
- In diesem Zustand funktioniert die macOS-Firewall offenbar nicht korrekt und ignoriert konfigurierte Firewall-Regeln
- Aufgrund der Routing-Tabellen-Einstellungen gelangt der meiste Traffic in den VPN-Tunnel
- Apps müssen der Routing-Tabelle jedoch nicht zwingend folgen; wenn sie entsprechend arbeiten, können sie Traffic außerhalb des VPN-Tunnels senden
- Dazu gehören Apples eigene Apps und Dienste
- Der betroffene Bereich reicht von macOS 14.6 bis zur aktuellen Beta von 15.1
- Mullvad hat dieses Problem an Apple gemeldet und liefert weiterhin zusätzliche Informationen sowie untersucht mögliche Workarounds in der App
So prüft man, ob man betroffen ist
- Im Terminal eine Firewall-Regel hinzufügen, die sämtlichen Traffic blockiert
echo "block drop quick all" | sudo pfctl -ef -
- Prüfen, ob Traffic außerhalb des VPN-Tunnels gesendet wird
curl https://am.i.mullvad.net/connected
- Nach dem Test die Firewall deaktivieren und alle Regeln löschen
sudo pfctl -d
sudo pfctl -f /etc/pf.conf
- Auch in der Mullvad-App lässt sich prüfen, ob ein Leak vorliegt
- Sicherstellen, dass keine Verbindung zum VPN besteht
- Das Standard-Interface prüfen
route get mullvad.net | sed -nE 's/.*interface: //p'
- Mit der Mullvad-App eine Verbindung zu einem VPN-Server herstellen
- Im folgenden Befehl
<interface> durch das im vorherigen Schritt ermittelte Interface ersetzen und ausführen
curl --interface <interface> https://am.i.mullvad.net/connected
- Bei korrekter Funktion sollte die Antwort angeben, dass man mit Mullvad verbunden ist oder dass keine Verbindung zum Server hergestellt werden kann
- Wenn die Antwort lautet, dass man nicht mit Mullvad verbunden ist, liegt ein Zustand vor, in dem Traffic geleakt wird
1 Kommentare
Meinungen auf Hacker News
Bei jedem macOS-Update wurden einige Systemeinstellungen, darunter die Firewall, auf die Standardwerte zurückgesetzt, sodass ich sie jedes Mal mühsam wieder ändern musste.
Nachdem ich ein paar Mal erlebt hatte, dass die Installation oder Aktualisierung von macOS oder iOS länger dauert, wenn dabei eine Internetverbindung besteht, schalte ich den Router während Updates inzwischen aus.
Da in Windows, macOS, Android usw. immer mehr KI-Funktionen integriert werden, dürfte es selbst während Updates unter dem Vorwand, neue KI-Funktionen „vorzubereiten“, noch mehr Uploads persönlicher Daten oder Downloads serverseitiger Daten geben.
Ohne Internet bleibt dem Installer nichts anderes übrig, als diesen Vorgang auf später zu verschieben, und ich denke, so gewinnt man Zeit, bis man nach dem Booten die Standardeinstellungen ändern kann.
Mehr dazu steht in https://news.ycombinator.com/item?id=26418809 und https://news.ycombinator.com/item?id=26303946.
Seit Jahren schlugen automatische Updates bei mir ständig mit Fehlern wie „Personalisierung der Software fehlgeschlagen, Internetverbindung prüfen“ fehl. Und das, obwohl das Internet einwandfrei funktionierte; für ein Update brauchte ich am Ende eine Live-USB und eine Ethernet-Verbindung.
Aus dieser Perspektive war nur Linux vergleichsweise „sauber“, aber inzwischen beginnen auch einige Distributionen, spywareartige Elemente heimlich einzubauen. Die Enshittification der Betriebssysteme geht weiter.
Apple will offenbar, dass Kunden bestimmte Funktionen nutzen, also schalten sie sie beim Upgrade einfach ein; das ist ziemlich unangenehm.
Wenn man ein VPN ohne Leaks will, muss man es auf Router-Ebene umsetzen, nicht im Gerät selbst. Das gilt für jedes Gerät, aber besonders für Apple-Geräte.
Ich empfehle dringend, den Traffic auf der kabelgebundenen Strecke mitzuschneiden und in Wireshark laufen zu lassen. Das geht über den Router oder einen passiven Ethernet-Tap, und man wird ziemlich viele Pakete sehen, die nicht zum VPN-Einstiegspunkt gehen.
Mit einem Router kann man auch Leaks vom Smartphone erkennen. Man stellt dann auch fest, dass das Telefon bei aktivierter WLAN-Telefonie alle 30 Sekunden eine TCP-Verbindung zu einem Kontrollserver des Mobilfunkanbieters aufbaut.
Wenn man zum Beispiel T-Mobile nutzt, im Ausland ist und die SIM nicht einmal als primäre SIM verwendet, bekommt der Anbieter trotzdem Logs aller Exit-IPs, die man nutzt.
Dass Apple scheinbar VPNs und Erweiterungen für Netzwerkfilterung unterstützt, ist eher ein Köder; für ihren eigenen Traffic schalten sie das bereitwillig aus.
Unter iOS umgeht der App Store das VPN, und wenn man ein VPN nutzt, blockiert Apple mitunter sogar den Download von Updates. Das habe ich gemerkt, als ich das VPN auf dem Router laufen ließ und der Update-Download fehlschlug.
Auf dem Mac gibt es besonders beim ersten Booten viele Probleme. Es sieht so aus, als wolle der Mac das VPN nicht aufbauen, bevor er einmal außerhalb des VPNs verbunden war.
Nach dem Aufwachen aus dem Ruhezustand erlebe ich häufig, dass ein On-Demand-WireGuard-Tunnel mit Cloudflare Warp keine Pakete senden kann. Wenn ich Ethernet abziehe, „immer eingeschaltet“ deaktiviere, etwa 30 Sekunden warte, es wieder aktiviere und Ethernet wieder einstecke, verbindet es sich.
Allerdings bin ich mir noch nicht sicher, ob dabei tatsächlich keine Leaks auftreten; das muss ich weiter untersuchen.
Selbst vor dem Einloggen kann Audio aus Tabs durchsickern.
Obwohl ich alle „Wiederherstellen“-Funktionen deaktiviert hatte, „startete“ macOS nach einem Neustart vor dem Login den Browser, und Inhalte, die vor dem Reboot oder schon Tage zuvor pausiert waren, wurden manchmal automatisch abgespielt.
Danach habe ich diese Funktion ziemlich tiefgehend deaktiviert, aber seitdem vertraue ich ihr nicht mehr.
Langfristig wird dieser Gefallen wohl in Guthaben umgewandelt, um die Kritik „Safari ist Mist“ auszusitzen, bis Apple und Google das Internet schließlich in Richtung eines Kriegs drängen, in dem Browser zu App Stores werden.
Beide Unternehmen gewinnen, können sich gegenseitig die Schuld geben und Anreize für wettbewerbswidriges Verhalten schaffen, während es so aussieht, als passten die Interessen ihrer jeweiligen Organisationen nur zufällig zusammen.
Das Internet wurde von einigen wenigen Großkonzernen vereinnahmt, gamifiziert, kommodifiziert und vertikal integriert.
Mobile Geräte sind im Grunde süchtig machende Tracking-Geräte, und Regierungen sind so sehr daran interessiert, solche glänzenden Werkzeuge für Verwaltungsfunktionen zu nutzen, dass sie die Gefahr übersehen, an der Recht, Technik und Geschäftsmodelle ineinandergreifen und systematisch missbraucht werden können.
Woher wissen sie, wer der Nutzer ist, und woher wissen sie, welche Apps geöffnet werden sollen? Wenn es vor dem Login passiert, vermute ich, dass man in Wirklichkeit automatisch eingeloggt wird und es nur nicht auf dem Bildschirm sieht.
Das wirkt wie ein ziemlich großer Sicherheitsbug, und es ist seltsam, dass er nicht ausgenutzt wird.
Es erinnert mich daran, dass früher bei einem FaceTime-Anruf das iPhone die Kamera einschaltete und dem Anrufer Video sendete, selbst wenn man nicht annahm.
Ich dachte, bis man nach einem Neustart das Passwort eingibt, seien die Nutzerdaten verschlüsselt, sodass das System nichts über den Nutzer wissen dürfte.
Dann dürfte es auch nicht wissen, welche Apps vor dem Reboot geöffnet waren, und Audio abzuspielen sollte erst recht unmöglich sein.
Wenn man den Browser öffnet, ist kurz die zuletzt geöffnete Seite zu sehen, selbst wenn man sie vor dem Schließen des Browsers vorsichtig geschlossen hatte.
Das hat zwar noch nie zu einem großen Problem geführt, ist aber sehr störend und könnte je nach Situation auch tatsächlich problematisch werden.
Das Artikeldatum ist zwar auf heute gesetzt, aber ich habe das Gefühl, denselben Text vor etwa einem Monat gelesen zu haben
https://mullvad.net/en/blog/bug-in-macos-14-sonoma-prevents-...
Scheint am 22. September 2023 behoben worden zu sein: https://mullvad.net/en/blog/macos-14-sonoma-firewall-bug-fix...
Apples Produkt- und Engineering-Abteilungen scheinen die Privatsphäre der Nutzer nicht so wichtig zu nehmen wie die Marketingabteilung
Ich habe zwar gehört, dass NixOS gut sein soll, dachte aber wegen des Browsers und der häufig genutzten Apps, dass ich vorerst noch ein grafisches Betriebssystem brauche
Ich möchte aus dem macOS-Ökosystem heraus, aber es entwickelt sich immer weiter in eine schlechte Richtung. Es fühlt sich an, als hätte ich mein ganzes digitales Leben um Apple herum aufgebaut
Dass „Apps sich nicht an die Routing-Tabelle halten müssen“, ist absurd
Wenn sie nur eine unverbindliche Fiktion ist, warum erstellt man dann überhaupt eine Routing-Tabelle und zeigt sie den Nutzern?
Anbieter sollten aufhören, sich auf den Geräten der Nutzer selbst Sonderrechte zu geben
Der erste Start direkt nach einem macOS-Systemupdate war schon seit Langem voller Bugs
Es werden haufenweise Apps gestartet, die vor dem Update gar nicht geöffnet waren; meist sieht es aus wie die 5 bis 10 zuletzt beendeten Apps
Es waren vollständig beendete Apps, und die Einstellung „Fortsetzen“ war ebenfalls deaktiviert. Es ist kein einfaches Fortsetzen, sondern die Apps werden so gestartet, als sollten sie neue Fenster erstellen, und zwar noch bevor das Einhängen der Laufwerke abgeschlossen ist
Deshalb tauchen bei jedem Update plötzlich häufig genutzte Apps auf und melden, dass Einstellungen und Daten verschwunden seien
Nach einem erneuten Neustart ist alles wieder in Ordnung, daher ist es kein großes Problem, aber es wirkt nachlässig und lässt das Betriebssystem instabil erscheinen
Das Firewall-Problem könnte damit nichts zu tun haben, aber ich bin gespannt, ob Apple durch diesen Vorfall auch diesen Bug behebt
Es nervt, dass der Mac am Ende so oft einfach alles wieder öffnet. Wenn man nach einer Möglichkeit sucht, das zu verhindern, lautet die Antwort immer nur: „Deaktiviere genau die Einstellung, die du bereits deaktiviert hast“