1 poin oleh GN⁺ 2024-10-17 | 1 komentar | Bagikan ke WhatsApp
  • Mullvad menyatakan bahwa di macOS, kebocoran trafik tepat setelah pembaruan sistem dapat terjadi, dan solusi yang saat ini terkonfirmasi adalah melakukan reboot
  • Dalam kondisi bermasalah, firewall macOS tampaknya tidak berfungsi normal sehingga aturan firewall yang telah ditetapkan diabaikan
  • Sebagian besar trafik masuk ke tunnel VPN karena routing table, tetapi aplikasi tidak selalu dirancang untuk mengikuti routing table
  • Mulai macOS 14.6 hingga beta 15.1 terbaru, beberapa aplikasi dan layanan Apple dapat mengirim trafik ke luar tunnel
  • Mullvad telah melaporkan masalah ini kepada Apple, dan terus menyelidiki solusi sementara yang mungkin dilakukan di tingkat aplikasi

Kondisi kebocoran yang teridentifikasi setelah pembaruan

  • Setelah pembaruan sistem macOS, kebocoran trafik dapat terjadi
  • Dalam cakupan yang saat ini diketahui Mullvad, masalah ini dapat diselesaikan dengan reboot
  • Dalam kondisi ini, firewall macOS tampaknya tidak berfungsi normal dan mengabaikan aturan firewall yang telah ditetapkan
  • Karena pengaturan routing table, sebagian besar trafik masuk ke dalam tunnel VPN
  • Namun, aplikasi tidak selalu wajib mengikuti routing table, sehingga jika dirancang demikian, aplikasi dapat mengirim trafik ke luar tunnel VPN
    • Aplikasi dan layanan bawaan Apple termasuk dalam contoh tersebut
    • Cakupannya dari macOS 14.6 hingga beta 15.1 terbaru
  • Mullvad telah melaporkan masalah ini kepada Apple, dan terus memberikan informasi tambahan serta menyelidiki solusi sementara yang mungkin dilakukan di aplikasi

Cara memeriksa apakah Anda terdampak

  • Tambahkan aturan firewall yang memblokir semua trafik dari Terminal
echo "block drop quick all" | sudo pfctl -ef -
  • Periksa apakah trafik dikirim ke luar tunnel VPN
curl https://am.i.mullvad.net/connected
  • Setelah eksperimen, nonaktifkan firewall dan hapus semua aturan
sudo pfctl -d
sudo pfctl -f /etc/pf.conf
  • Kebocoran juga dapat diperiksa di aplikasi Mullvad
    • Pastikan Anda tidak sedang terhubung ke VPN
    • Periksa interface default
route get mullvad.net | sed -nE 's/.*interface: //p'
  • Hubungkan ke server VPN melalui aplikasi Mullvad
  • Pada perintah di bawah, ganti <interface> dengan interface yang diperiksa pada langkah sebelumnya, lalu jalankan
curl --interface <interface> https://am.i.mullvad.net/connected
  • Jika berfungsi normal, respons seharusnya menyatakan bahwa Anda terhubung ke Mullvad atau tidak dapat terhubung ke server
  • Jika respons menyatakan bahwa Anda tidak terhubung ke Mullvad, berarti trafik sedang bocor

1 komentar

 
GN⁺ 2024-10-17
Opini di Hacker News
  • Setiap kali memperbarui macOS, sebagian pengaturan sistem kembali ke nilai bawaan, termasuk firewall, sehingga harus diubah lagi satu per satu setiap kali
    Setelah beberapa kali mengalami instalasi atau pembaruan macOS maupun iOS yang memakan waktu lebih lama saat terhubung ke internet, sekarang saya mematikan router selama pembaruan
    Karena fitur AI terus diintegrasikan ke Windows, macOS, Android, dan sebagainya, saya rasa selama pembaruan pun akan makin banyak unggahan data pribadi atau unduhan data sisi server dengan dalih “menyiapkan” fitur AI baru
    Jika tidak ada internet, installer mau tidak mau harus menunda proses itu sampai nanti, dan menurut saya itu memberi waktu sampai kita bisa mengubah pengaturan bawaan setelah boot
    Tulisan terkait lainnya ada di https://news.ycombinator.com/item?id=26418809 dan https://news.ycombinator.com/item?id=26303946

    • Kalau setiap instalasi atau pembaruan sampai harus mematikan router, rasanya sistem operasi yang sudah dibeli dengan uang itu menuntut terlalu banyak kerepotan
    • Hardware Mac yang indah terasa sangat disia-siakan oleh versi-versi macOS belakangan ini
    • Saya penasaran bagaimana cara memasang pembaruan tanpa internet
      Selama beberapa tahun, pembaruan otomatis terus gagal dengan galat seperti “personalisasi perangkat lunak gagal, periksa internet”. Padahal internet berjalan normal, dan pada akhirnya untuk memperbarui saya perlu live USB dan koneksi Ethernet
    • Kebiasaan macOS yang mengembalikan sebagian pengaturan, termasuk firewall, ke bawaan setiap kali pembaruan juga sudah cukup lama dilakukan Windows
      Dari sudut pandang itu, hanya Linux yang relatif “bersih”, tetapi belakangan beberapa distro juga mulai menyelipkan unsur mirip spyware. Enshittification sistem operasi terus berlanjut
    • Setiap kali meng-upgrade iPhone, Bluetooth menyala, dan itu benar-benar menjengkelkan
      Sepertinya Apple ingin pelanggan memakai fitur tertentu, jadi saat upgrade mereka langsung menyalakannya begitu saja, dan itu cukup tidak menyenangkan
  • Jika menginginkan VPN tanpa kebocoran, implementasinya harus di level router, bukan di dalam perangkat. Ini berlaku untuk perangkat apa pun, tetapi terutama untuk perangkat Apple
    Sangat disarankan menangkap trafik di segmen kabel lalu mengalirkannya ke Wireshark. Ini bisa dilakukan dengan router atau tap Ethernet pasif, dan Anda akan melihat cukup banyak paket yang menuju tempat selain entry point VPN
    Dengan router, Anda juga bisa memeriksa kebocoran dari ponsel. Jika panggilan Wi-Fi aktif, Anda akan tahu bahwa ponsel membuat koneksi TCP ke server kontrol operator setiap 30 detik
    Misalnya jika memakai T-Mobile dan sedang di luar negeri, bahkan bila tidak memakainya sebagai SIM utama, operator tetap mendapatkan log semua IP keluar yang Anda gunakan
    Dukungan Apple terhadap VPN dan ekstensi pemfilteran jaringan tampak lebih seperti umpan, dan mereka dengan senang hati menonaktifkannya untuk trafik mereka sendiri
    Di iOS, App Store melewati VPN, dan saat memakai VPN, Apple bahkan terkadang memblokir unduhan pembaruan. Saya mengetahuinya ketika unduhan pembaruan gagal saat memakai VPN di router
    Di Mac, masalahnya terutama banyak terjadi saat boot pertama. Mac tampak seperti tidak mau membangun VPN sampai pernah sekali tersambung ke luar VPN
    Saya sering mengalami kondisi ketika tunnel WireGuard on-demand yang memakai Cloudflare Warp tidak bisa mengirim paket setelah bangun dari sleep. Jika Ethernet dicabut, always-on dimatikan, menunggu sekitar 30 detik, lalu dinyalakan lagi dan Ethernet dicolokkan, koneksi tersambung
    Namun saya belum yakin apakah dalam proses itu benar-benar tidak ada kebocoran, jadi masih perlu diselidiki lebih lanjut

  • Bahkan sebelum login, audio dari tab bisa bocor
    Walaupun semua fitur “restore” sudah dimatikan, macOS tetap “memulai” browser setelah restart sebelum login, dan konten yang sebelumnya dijeda sebelum reboot atau beberapa hari sebelumnya kadang diputar otomatis
    Setelah itu saya menonaktifkan fitur tersebut cukup dalam, tetapi saya tidak pernah mempercayainya lagi

    • Apple sepertinya ingin memanaskan lebih dulu stack TCP/IP dan Safari untuk pengguna yang menginginkan respons instan
      Dalam jangka panjang, mereka akan mengubah kebaikan ini menjadi semacam kredit untuk menahan kritik bahwa “Safari jelek”, lalu pada akhirnya Apple dan Google akan mendorong internet ke arah perang ketika browser menjadi toko aplikasi
      Kedua perusahaan sama-sama menang, bisa saling menyalahkan, dan meski memberi insentif pada perilaku antipersaingan, mereka dapat membuatnya tampak seolah kepentingan masing-masing organisasi kebetulan selaras
      Internet telah ditangkap oleh segelintir raksasa, digamifikasi, dikomodifikasi, dan diintegrasikan secara vertikal
      Perangkat mobile pada dasarnya adalah perangkat pelacak yang adiktif, dan pemerintah terlalu tertarik memakai alat mencolok seperti itu untuk fungsi administratif sehingga tidak melihat bahaya membiarkan titik-titik tempat hukum, teknologi, dan bisnis saling terkait dan dapat disalahgunakan secara sistematis
    • Sulit membayangkan fitur yang lebih tidak diinginkan daripada suara yang keluar saat membuka laptop, tetapi Apple menyajikannya seolah itu fitur
    • Saya tidak mengerti bagaimana aplikasi bisa dibuka padahal belum login
      Bagaimana sistem tahu siapa penggunanya, dan bagaimana tahu aplikasi mana yang harus dibuka? Jika itu terjadi sebelum login, saya curiga sebenarnya sistem sudah login otomatis, hanya saja tidak menampilkannya di layar
      Ini terlihat seperti bug keamanan yang cukup besar, dan aneh kalau tidak dieksploitasi
      Saya teringat kejadian dulu ketika ada panggilan FaceTime, iPhone menyalakan kamera dan mengirim video ke penelepon meski panggilan tidak dijawab
    • Jika FileVault aktif, saya tidak tahu bagaimana ini bisa terjadi, dan terdengar seperti bypass keamanan
      Saya kira sampai kata sandi dimasukkan setelah reboot, data pengguna tetap terenkripsi sehingga sistem seharusnya tidak tahu apa pun tentang pengguna
      Kalau begitu, sistem juga seharusnya tidak bisa tahu aplikasi apa yang terbuka sebelum reboot, apalagi memutar suara
    • Hal serupa juga terjadi di browser iPhone
      Saat membuka browser, halaman terakhir yang terbuka sempat terlihat, bahkan ketika sebelumnya sudah ditutup dengan hati-hati sebelum menutup browser
      Ini belum pernah menyebabkan masalah besar, tetapi sangat mengganggu, dan dalam situasi tertentu bisa menjadi masalah nyata
  • Tanggal artikelnya tertulis hari ini, tetapi rasanya seperti pernah membaca tulisan yang persis sama sekitar sebulan lalu

  • Saya pernah dengar NixOS itu bagus, tetapi karena browser dan aplikasi yang sering saya pakai, saya masih berpikir perlu sistem operasi grafis
    Saya ingin keluar dari ekosistem macOS, tetapi arahnya makin buruk. Rasanya seluruh kehidupan digital saya sudah telanjur saya susun berpusat pada Apple

    • GUI di NixOS juga berjalan tanpa masalah. Komentar ini pun dikirim dari browser di NixOS
  • Gagasan bahwa “aplikasi tidak perlu mengikuti routing table” itu gila
    Kalau itu cuma fiksi untuk referensi, saya tidak mengerti kenapa routing table dibuat dan ditampilkan kepada pengguna
    Para vendor harus berhenti memberi keistimewaan kepada diri mereka sendiri di perangkat pengguna

    • Ada juga use case yang sah untuk mengikat socket ke interface tertentu
  • Boot pertama tepat setelah pembaruan sistem macOS sudah sejak lama penuh bug
    Banyak aplikasi yang bahkan tidak dibuka sebelum update tiba-tiba dijalankan, biasanya terlihat seperti 5–10 aplikasi yang terakhir ditutup
    Padahal itu aplikasi yang sudah ditutup sepenuhnya, dan pengaturan “Resume” juga dimatikan. Ini bukan sekadar melanjutkan sesi, melainkan menjalankan aplikasi untuk membuat jendela baru, dan dilakukan sebelum mount disk selesai
    Akibatnya setiap kali update, aplikasi yang sering dipakai tiba-tiba muncul dan mengatakan pengaturan serta datanya hilang
    Kalau reboot lagi, semuanya kembali normal, jadi bukan masalah besar, tetapi terlihat ceroboh dan membuat sistem operasi terasa tidak stabil
    Masalah firewall mungkin tidak terkait dengan ini, tetapi perlu dilihat apakah kejadian kali ini membuat Apple turut memperbaiki bug itu

    • Sepertinya semua aplikasi yang sedang terbuka pada saat tombol “Update” ditekan akan dijalankan. Begitu kelihatannya meskipun instalasi sebenarnya baru dimulai 30 menit kemudian
    • Saya tidak begitu tahu apa sebenarnya fungsi pengaturan “Resume”
      Menyebalkan karena Mac pada akhirnya terlalu sering membuka semuanya lagi. Kalau mencari cara mencegahnya, jawabannya selalu hanya “matikan pengaturan yang memang sudah dimatikan itu”