Potensi Bypass Enkripsi DNS di macOS Sequoia 15

Peringatan: macOS Sequoia 15 dapat melewati enkripsi DNS

Dasar-dasar enkripsi DNS

• Saat Anda memasukkan nama host (misalnya apple.com) di browser web, nama tersebut harus diubah menjadi alamat IP agar komputer dapat terhubung ke server
• Pencarian ini biasanya dilakukan tanpa enkripsi, sehingga penyedia internet dan pihak lain yang memantau koneksi dapat melihat situs yang Anda kunjungi
• Untuk melindungi pencarian ini, Little Snitch 6 menyediakan fitur baru bernama enkripsi DNS
• Saat enkripsi DNS diaktifkan, semua pencarian nama dilakukan dalam bentuk terenkripsi melalui Little Snitch
• Untuk itu, Little Snitch mendaftarkan proxy DNS, dan macOS mengirim semua permintaan DNS ke proxy tersebut agar pencarian dilakukan dalam bentuk terenkripsi

Namun…

• Saat menyelidiki masalah terkait DNS di macOS 15 Sequoia, ditemukan bahwa sebagian permintaan DNS—terutama yang dilakukan melalui API lawas tingkat rendah tertentu—tidak diteruskan ke proxy
• Tampaknya ada bug di macOS Sequoia yang membuat sebagian permintaan melewati proxy DNS yang terpasang dan dikirim tanpa enkripsi ke name server bawaan sistem
• Bug ini kemungkinan memengaruhi bukan hanya Little Snitch, tetapi semua jenis proxy DNS
• Karena itu, jika Anda menggunakan fitur enkripsi DNS baru di Little Snitch 6 atau memakai proxy DNS pihak ketiga lain, Anda perlu menyadari bahwa sebagian pencarian DNS dapat melewati proxy hingga Apple memperbaikinya dalam pembaruan macOS mendatang
• Sebagai referensi, pencarian DNS yang dilakukan melalui API tingkat lebih tinggi tidak terdampak oleh bug ini. Misalnya, penelusuran web di Safari atau Chrome tetap mendapat manfaat dari pencarian terenkripsi. Sebaliknya, Firefox mungkin terdampak

Cara mereproduksi

1. Aktifkan enkripsi DNS di pengaturan Little Snitch
2. Jalankan Wireshark dengan filter penangkapan port 53
3. Jalankan kode berikut di Xcode Playground:

   import Foundation
   let domain = "dnsproxytest.com"
   var result: UnsafeMutablePointer<addrinfo>?
   let status = getaddrinfo(domain, nil, nil, &result)
   

• Anda dapat melihat bahwa pencarian untuk dnsproxytest.com muncul di Wireshark tanpa enkripsi pada port UDP 53 (default untuk pencarian tanpa enkripsi)
• Selain itu, Little Snitch Network Monitor sama sekali tidak menampilkan lalu lintas untuk pencarian tersebut. Ini berarti pencarian itu sepenuhnya melewati filter jaringan
• Bug ini telah dilaporkan ke Apple, dan diharapkan ada perbaikan cepat. Pembaruan akan terus diberikan

Pembaruan 2024-09-17, 19:10

• Hasil investigasi tambahan menunjukkan bahwa bug ini setidaknya sudah ada sejak macOS 14.5 Sonoma, dan mungkin juga ada di versi yang lebih lama. Saat ini tidak ada akses ke sistem 14.x yang lebih lama, sehingga pengujian tidak dapat dilakukan

Ringkasan GN⁺

• Artikel ini membahas bug di macOS Sequoia 15 yang dapat membuat enkripsi DNS terlewati
• Enkripsi DNS adalah fitur penting untuk melindungi privasi pengguna internet
• Bug ini terutama memengaruhi permintaan DNS yang dilakukan melalui API lawas tingkat rendah
• Hingga Apple menyelesaikan masalah ini, pengguna perlu menyadari bahwa sebagian pencarian DNS mungkin tidak terenkripsi
• Proyek lain yang menyediakan fungsi serupa antara lain solusi pemfilteran DNS seperti Pi-hole