Druck von außen könnte helfen
Little Snitch 5: Vorerst chancenlos gegen Apples Extrawurst
Vorgestern in den News: Die App-Firewall Little Snitch ist in Version 5.0 erschienen. Das Update richtet sich allerdings ausschließlich an Mac-Anwender, die bereits mit einer aktuellen Beta von macOS 11 „Big Sur“ unterwegs sind und lässt sich unter macOS 10.15 „Catalina“ nicht installieren.
Grund hierfür ist, dass Little Snitch 5 auf eine komplett neue Filter-Architektur setzt und dafür mehrere System-Schnittstellen bemüht, die erst mit macOS 11 „Big Sur“ eingeführt wurden.
Was uns nach der Ankündigung der Wiener Objective Development Software GmbH interessiert hat: Wird Little Snitch 5 auch den Netzwerk-Verbindungsversuchen ausgewählter Apple-Anwendungen einen Riegel vorschieben können?
Apple gewährt seinen Apps Sonderrechte
Was früher zum standardmäßigen Funktionsumfang der App-Firewall gehörte, ist unter macOS 11 nämlich alles andere als selbstverständlich. Apple räumt seinen Applikationen neuerdings Verbindungs-Sonderrechte ein. Auch wenn Firewall-Lösungen wie Little Snitch dem System signalisieren, keinen Netzwerkverkehr mehr zuzulassen, ignoriert das Apple-Betriebssystem diese Anfrage für den App Store, den System-Updater und weitere Hintergrunddienste – ifun.de berichtete:
- Arrogante Sonderrechte? Apple lässt sich von keiner Firewall aufhalten
Auf unsere Frage, welches Kraut gegen Apples Extrawurst gewachsen ist, haben die Verantwortlichen hinter Little Snitch zwar umgehen reagiert, können aktuell jedoch auch nur abwarten.
Druck von außen könnte helfen
Zusammengefasst, so eine Unternehmenssprecherin gegenüber ifun.de, gäbe es einige Apple Werks-Applikationen, die an Little Snitch 5 vorbeigehen, da diese aus technischen Gründen nicht aufzuhalten seien. Man gibt sich jedoch zuversichtlich, dass Apple auch aufgrund des momentan gegebenen Drucks von außen, hier noch Änderungen vornehmen wird.
Das Entwickler-Team geht im hauseigenen Support-Bereich unter der Überschrift „The traffic of some Apple processes isn’t shown in Little Snitch 5“ auf die Thematik ein und listet hier alle Apple-Dienste, die sich an keine Firewall-Regeln halten.
Mit einem Produktkauf bei Apple unterstützt man solch Praktiken.
LittleSnitch sollte lieber den App Store forcieren.
Das hattest du schon im vorherigen Little Snitch Artikel kommentiert. Allerdings beide male ohne irgendeine Argumentation. Frag man sich, was das soll.
Software im MAS anzubieten bringt vor allem einer Partei etwas: und die heißt Apple und bekommt 30% vom bezahlten Geld. Daher kaufe ich stets direkt bei den Entwickeln, falls das möglich ist.
Und nicht zu vergessen im MAS gelten Richtlinien, die Software auch mal stark Einschränken können.
little snitch wird nach einhelten von apples app store richtlinien funktionslos.
* einhalten
Vorteile des App Stores
– gesandboxte Anwendung, ohne root-Prozesse (= kein Angriffsvektor für Malware)
– stärkerer Verbreitungssgrad der Anwendung
– Update-Freundlichkeit, gesicherte Updates via Apple (siehe Handbrake-Serverhack.
– größere Gruppe potentieller Kunden
– …
Nachteil:
– 30 % Abgabe an Apple
Die Motivation dahinter? Den Wunsch danach zu streuen.
Neben einer Quelle in der man alles gesammelt hat, kenne ich keinen einzigen weiteren Vorteil des MAS. Im Gegenteil, alles andere sind nur Nachteile die dem einen Vorteil massiv überlegen.
Aus meiner Sicht ist die zentrale Update-Funktionalität ein Grund dafür. Und für eher unbeholfene User eine einfache Quelle, Apps zu finden.
Dann geht’s vielleicht über sowas wie VPN Profile?
Vielleicht nicht ganz so dicht, aber immerhin.
Lokales VPN wäre auch meine Idee, ähnlich zu Lockdown.
Oder einfach eine Hardware Firewall
Eine Firewall gehört eh extern.
Mit so einer Praxis wird macOS ein Betriebssystem für gedankenlose Hipster mit zu dickem Portemonnaie. Ich werde nicht auf Big Sur aktualisieren unter diesen Bedingungen.
Wenn ich mal langeweile habe, setzte ich mir vielleicht eine externe Hardware Firewall auf. Danach installiere ich vielleicht Big Sur. Schauen wir mal. Aber diese Praxis ist völlig inakzeptabel.
Warum sollte ich denn apple eigene Verbindungen blocken? Ich nutze Mail die Wetter app aktien etc. Die bekommen natürlich einen Zugriff…
Darum geht’s doch garnicht. Ne firewall wie Little Snitch gibt dir als User die Möglichkeit SÄMTLICHEN Traffic zu überwachen und so zu schauen was da alles im Hintergrund passiert. Durch die Änderung nimmt Apple sich jetzt quasi das Recht raus im Hintergrund zu tun was auch immer es möchte, ohne das du eine Möglichkeit hättest das mitzubekommen.
Blödes Beispiel wäre zum Beispiel ein aktives Mikrofon was dauerhaft aufnimmt und die Daten an Apple sendet. Vorher hättest du die Möglichkeit gehabt das aufzuspüren…..Nun nicht mehr, da Apple den Traffic an Little Snitch vorbei führen kann.
Ok, grundlegende Dinge nicht verstanden. LittleSnitch kann immer noch, Zitat, „SÄMTLICHEN Traffic“ zu überwachen. D.h., du siehst noch weiterhin alles, kannst auch einstellen, dass gewisse Verbindungen blockiert werden, aber diese Blockade interessiert halt die Apple-eigenen Apps nicht.
Glückwunsch zur Gesichtspalme des Tages!
Apple untersagt also einer Firewall ihre bisherige Funktionsweise mit dem Hinweis auf Sicherheit, gibt den Entwickler dafür dann eine neue (eingeschränkte) API und schafft so eine Möglichkeit dafür, dass Programme nun doch an der Firewall vorbei kommunizieren können :D Damit ist die Firewall also effektiv umgangen :D und das ist jetzt also sicherer als vorher…..? Ach Apple….Langsam machts echt keinen Spaß mehr…..
Ja, aus Kundensicht vom „sichersten“ Betriebssystem runtergestuft auf unsicheres Betriebssystem innerhalb nur eines Evolutionsschritts. Dass nenne ich eine überragende Innovationskraft!
Das würde nämlich bedeuten, wenn diese Apps die derart vorbeigeschleust werden eine Sicherheitslücke haben, ein offenes Einfallstor wären. Also mitdenken geht anders, Apple.
Hab jetzt ein Surface Go von der Arbeit bekommen, neben Macbook Pro und iPhone als Dienstgeräte. Für manche lohnt sich eventuell mal so ein Ding auszuprobieren. Bisher das innovativste Gadget, seit das iPhone auf den Markt gekommen ist…
Pihole ins Netzwerk , dann legt man ach Apple an die Kette.
Das ist nicht ganz richtig. PiHole beantwortet nur DNS Anfragen. Wenn Apple z.B. über IPs ohne Namensauflösung kommuniziert, bekommt PiHole absolut nichts davon mit. Ping mal 1.1.1.1 an – das bemerkt Pi nicht.
Da hast du PiHole ganz und gar nicht verstanden. PiHole fungiert zusätzlich als DNS Server, kann aber ansonsten explizit jede IP oder ganze Ip-Felder blocken (was auch die Hauptfunktion ist).
Meine Daten gehören mir. Ich habe nahezu alles von Apple geblockt, außer Update-Server, E-Mail, Kontakte und iMessage. Alles andere wird nur dann freigegeben, wenn ich es 1-2x im Jahr brauche. Apple versucht sonst laufend über duzende bis hunderte Verbindungen am Tag sinnlos nach Hause zu telefonieren. Sei es bei Verwendung von Vorschau, Fotos-App oder Pages.
Daher ist die Entscheidung für mich leider ganz einfach: Es wird kein Update auf Big Sur geben, bis es eine Lösung gibt. Ich pflege Little Snitch seit vielen Jahren und will kein löchriges Little Snitch oder macOS
genau das!