Được gọi là “ContentFilterExclusionList”, nó bao gồm một danh sách có tới 50 ứng dụng của Apple như iCloud, Maps, Music, FaceTime, HomeKit, App Store và dịch vụ cập nhật phần mềm được định tuyến thông qua Network Extension Framework, vượt qua sự bảo vệ của tường lửa.
Vấn đề này lần đầu tiên được công bố vào tháng 10 năm ngoái sau khi phát hành macOS Big Sur. Nó khiến các nhà nghiên cứu bảo mật lo ngại rằng tính năng này đã “đủ” để lạm dụng, thêm vào đó nó có thể bị kẻ tấn công lợi dụng để lấy cắp dữ liệu nhạy cảm bằng cách đưa nó vào các ứng dụng Apple hợp pháp và sau đó vượt qua tường lửa và phần mềm bảo mật.
Patrick Wardle, một nhà nghiên cứu bảo mật của Jamf, cho biết: “Sau rất nhiều thông tin báo chí và nhiều phản hồi/báo cáo lỗi cho Apple từ các nhà phát triển như tôi, có vẻ như những bộ óc khôn ngoan hơn (có ý thức bảo mật hơn) ở Cupertino đã thắng thế”. Năm ngoái, các nhà nghiên cứu, bao gồm cả Wardle, đã phát hiện ra rằng các ứng dụng của Apple đã bị loại trừ khỏi NEFilterDataProvider – một bộ lọc nội dung mạng giúp cho các ứng dụng tường lửa và VPN như LuLu và Little Snitch có thể giám sát và kiểm soát lưu lượng dữ liệu từ các ứng dụng đã cài đặt trên hệ thống.
Wardle đã chứng minh một ví dụ về cách các ứng dụng độc hại có thể khai thác cách vượt tường lửa này để truyền dữ liệu đến máy chủ do kẻ tấn công kiểm soát bằng cách sử dụng tập lệnh Python đơn giản để chốt lưu lượng truy cập vào một ứng dụng được Apple miễn trừ trong danh sách 50 ứng dụng chính chỉ của “táo khuyết” mặc dù đã đặt LuLu và Little Snitch để chặn tất cả các kết nối gửi đi trên máy Mac đang chạy Big Sur.
Với thay đổi mới này, tường lửa bộ lọc socket như LuLu giờ đây có thể lọc/chặn toàn diện tất cả lưu lượng mạng, bao gồm cả những lưu lượng từ các ứng dụng của Apple.