- Mullvad menyatakan bahwa di macOS, kebocoran trafik tepat setelah pembaruan sistem dapat terjadi, dan solusi yang saat ini terkonfirmasi adalah melakukan reboot
- Dalam kondisi bermasalah, firewall macOS tampaknya tidak berfungsi normal sehingga aturan firewall yang telah ditetapkan diabaikan
- Sebagian besar trafik masuk ke tunnel VPN karena routing table, tetapi aplikasi tidak selalu dirancang untuk mengikuti routing table
- Mulai macOS 14.6 hingga beta 15.1 terbaru, beberapa aplikasi dan layanan Apple dapat mengirim trafik ke luar tunnel
- Mullvad telah melaporkan masalah ini kepada Apple, dan terus menyelidiki solusi sementara yang mungkin dilakukan di tingkat aplikasi
Kondisi kebocoran yang teridentifikasi setelah pembaruan
- Setelah pembaruan sistem macOS, kebocoran trafik dapat terjadi
- Dalam cakupan yang saat ini diketahui Mullvad, masalah ini dapat diselesaikan dengan reboot
- Dalam kondisi ini, firewall macOS tampaknya tidak berfungsi normal dan mengabaikan aturan firewall yang telah ditetapkan
- Karena pengaturan routing table, sebagian besar trafik masuk ke dalam tunnel VPN
- Namun, aplikasi tidak selalu wajib mengikuti routing table, sehingga jika dirancang demikian, aplikasi dapat mengirim trafik ke luar tunnel VPN
- Aplikasi dan layanan bawaan Apple termasuk dalam contoh tersebut
- Cakupannya dari macOS 14.6 hingga beta 15.1 terbaru
- Mullvad telah melaporkan masalah ini kepada Apple, dan terus memberikan informasi tambahan serta menyelidiki solusi sementara yang mungkin dilakukan di aplikasi
Cara memeriksa apakah Anda terdampak
- Tambahkan aturan firewall yang memblokir semua trafik dari Terminal
echo "block drop quick all" | sudo pfctl -ef -
- Periksa apakah trafik dikirim ke luar tunnel VPN
curl https://am.i.mullvad.net/connected
- Setelah eksperimen, nonaktifkan firewall dan hapus semua aturan
sudo pfctl -d
sudo pfctl -f /etc/pf.conf
- Kebocoran juga dapat diperiksa di aplikasi Mullvad
- Pastikan Anda tidak sedang terhubung ke VPN
- Periksa interface default
route get mullvad.net | sed -nE 's/.*interface: //p'
- Hubungkan ke server VPN melalui aplikasi Mullvad
- Pada perintah di bawah, ganti
<interface> dengan interface yang diperiksa pada langkah sebelumnya, lalu jalankan
curl --interface <interface> https://am.i.mullvad.net/connected
- Jika berfungsi normal, respons seharusnya menyatakan bahwa Anda terhubung ke Mullvad atau tidak dapat terhubung ke server
- Jika respons menyatakan bahwa Anda tidak terhubung ke Mullvad, berarti trafik sedang bocor
1 komentar
Opini di Hacker News
Setiap kali memperbarui macOS, sebagian pengaturan sistem kembali ke nilai bawaan, termasuk firewall, sehingga harus diubah lagi satu per satu setiap kali
Setelah beberapa kali mengalami instalasi atau pembaruan macOS maupun iOS yang memakan waktu lebih lama saat terhubung ke internet, sekarang saya mematikan router selama pembaruan
Karena fitur AI terus diintegrasikan ke Windows, macOS, Android, dan sebagainya, saya rasa selama pembaruan pun akan makin banyak unggahan data pribadi atau unduhan data sisi server dengan dalih “menyiapkan” fitur AI baru
Jika tidak ada internet, installer mau tidak mau harus menunda proses itu sampai nanti, dan menurut saya itu memberi waktu sampai kita bisa mengubah pengaturan bawaan setelah boot
Tulisan terkait lainnya ada di https://news.ycombinator.com/item?id=26418809 dan https://news.ycombinator.com/item?id=26303946
Selama beberapa tahun, pembaruan otomatis terus gagal dengan galat seperti “personalisasi perangkat lunak gagal, periksa internet”. Padahal internet berjalan normal, dan pada akhirnya untuk memperbarui saya perlu live USB dan koneksi Ethernet
Dari sudut pandang itu, hanya Linux yang relatif “bersih”, tetapi belakangan beberapa distro juga mulai menyelipkan unsur mirip spyware. Enshittification sistem operasi terus berlanjut
Sepertinya Apple ingin pelanggan memakai fitur tertentu, jadi saat upgrade mereka langsung menyalakannya begitu saja, dan itu cukup tidak menyenangkan
Jika menginginkan VPN tanpa kebocoran, implementasinya harus di level router, bukan di dalam perangkat. Ini berlaku untuk perangkat apa pun, tetapi terutama untuk perangkat Apple
Sangat disarankan menangkap trafik di segmen kabel lalu mengalirkannya ke Wireshark. Ini bisa dilakukan dengan router atau tap Ethernet pasif, dan Anda akan melihat cukup banyak paket yang menuju tempat selain entry point VPN
Dengan router, Anda juga bisa memeriksa kebocoran dari ponsel. Jika panggilan Wi-Fi aktif, Anda akan tahu bahwa ponsel membuat koneksi TCP ke server kontrol operator setiap 30 detik
Misalnya jika memakai T-Mobile dan sedang di luar negeri, bahkan bila tidak memakainya sebagai SIM utama, operator tetap mendapatkan log semua IP keluar yang Anda gunakan
Dukungan Apple terhadap VPN dan ekstensi pemfilteran jaringan tampak lebih seperti umpan, dan mereka dengan senang hati menonaktifkannya untuk trafik mereka sendiri
Di iOS, App Store melewati VPN, dan saat memakai VPN, Apple bahkan terkadang memblokir unduhan pembaruan. Saya mengetahuinya ketika unduhan pembaruan gagal saat memakai VPN di router
Di Mac, masalahnya terutama banyak terjadi saat boot pertama. Mac tampak seperti tidak mau membangun VPN sampai pernah sekali tersambung ke luar VPN
Saya sering mengalami kondisi ketika tunnel WireGuard on-demand yang memakai Cloudflare Warp tidak bisa mengirim paket setelah bangun dari sleep. Jika Ethernet dicabut, always-on dimatikan, menunggu sekitar 30 detik, lalu dinyalakan lagi dan Ethernet dicolokkan, koneksi tersambung
Namun saya belum yakin apakah dalam proses itu benar-benar tidak ada kebocoran, jadi masih perlu diselidiki lebih lanjut
Bahkan sebelum login, audio dari tab bisa bocor
Walaupun semua fitur “restore” sudah dimatikan, macOS tetap “memulai” browser setelah restart sebelum login, dan konten yang sebelumnya dijeda sebelum reboot atau beberapa hari sebelumnya kadang diputar otomatis
Setelah itu saya menonaktifkan fitur tersebut cukup dalam, tetapi saya tidak pernah mempercayainya lagi
Dalam jangka panjang, mereka akan mengubah kebaikan ini menjadi semacam kredit untuk menahan kritik bahwa “Safari jelek”, lalu pada akhirnya Apple dan Google akan mendorong internet ke arah perang ketika browser menjadi toko aplikasi
Kedua perusahaan sama-sama menang, bisa saling menyalahkan, dan meski memberi insentif pada perilaku antipersaingan, mereka dapat membuatnya tampak seolah kepentingan masing-masing organisasi kebetulan selaras
Internet telah ditangkap oleh segelintir raksasa, digamifikasi, dikomodifikasi, dan diintegrasikan secara vertikal
Perangkat mobile pada dasarnya adalah perangkat pelacak yang adiktif, dan pemerintah terlalu tertarik memakai alat mencolok seperti itu untuk fungsi administratif sehingga tidak melihat bahaya membiarkan titik-titik tempat hukum, teknologi, dan bisnis saling terkait dan dapat disalahgunakan secara sistematis
Bagaimana sistem tahu siapa penggunanya, dan bagaimana tahu aplikasi mana yang harus dibuka? Jika itu terjadi sebelum login, saya curiga sebenarnya sistem sudah login otomatis, hanya saja tidak menampilkannya di layar
Ini terlihat seperti bug keamanan yang cukup besar, dan aneh kalau tidak dieksploitasi
Saya teringat kejadian dulu ketika ada panggilan FaceTime, iPhone menyalakan kamera dan mengirim video ke penelepon meski panggilan tidak dijawab
Saya kira sampai kata sandi dimasukkan setelah reboot, data pengguna tetap terenkripsi sehingga sistem seharusnya tidak tahu apa pun tentang pengguna
Kalau begitu, sistem juga seharusnya tidak bisa tahu aplikasi apa yang terbuka sebelum reboot, apalagi memutar suara
Saat membuka browser, halaman terakhir yang terbuka sempat terlihat, bahkan ketika sebelumnya sudah ditutup dengan hati-hati sebelum menutup browser
Ini belum pernah menyebabkan masalah besar, tetapi sangat mengganggu, dan dalam situasi tertentu bisa menjadi masalah nyata
Tanggal artikelnya tertulis hari ini, tetapi rasanya seperti pernah membaca tulisan yang persis sama sekitar sebulan lalu
https://mullvad.net/en/blog/bug-in-macos-14-sonoma-prevents-...
Sepertinya sudah diperbaiki pada 22 September 2023: https://mullvad.net/en/blog/macos-14-sonoma-firewall-bug-fix...
Divisi produk dan engineering Apple tampaknya tidak menganggap privasi pengguna sepenting divisi marketing
Saya pernah dengar NixOS itu bagus, tetapi karena browser dan aplikasi yang sering saya pakai, saya masih berpikir perlu sistem operasi grafis
Saya ingin keluar dari ekosistem macOS, tetapi arahnya makin buruk. Rasanya seluruh kehidupan digital saya sudah telanjur saya susun berpusat pada Apple
Gagasan bahwa “aplikasi tidak perlu mengikuti routing table” itu gila
Kalau itu cuma fiksi untuk referensi, saya tidak mengerti kenapa routing table dibuat dan ditampilkan kepada pengguna
Para vendor harus berhenti memberi keistimewaan kepada diri mereka sendiri di perangkat pengguna
Boot pertama tepat setelah pembaruan sistem macOS sudah sejak lama penuh bug
Banyak aplikasi yang bahkan tidak dibuka sebelum update tiba-tiba dijalankan, biasanya terlihat seperti 5–10 aplikasi yang terakhir ditutup
Padahal itu aplikasi yang sudah ditutup sepenuhnya, dan pengaturan “Resume” juga dimatikan. Ini bukan sekadar melanjutkan sesi, melainkan menjalankan aplikasi untuk membuat jendela baru, dan dilakukan sebelum mount disk selesai
Akibatnya setiap kali update, aplikasi yang sering dipakai tiba-tiba muncul dan mengatakan pengaturan serta datanya hilang
Kalau reboot lagi, semuanya kembali normal, jadi bukan masalah besar, tetapi terlihat ceroboh dan membuat sistem operasi terasa tidak stabil
Masalah firewall mungkin tidak terkait dengan ini, tetapi perlu dilihat apakah kejadian kali ini membuat Apple turut memperbaiki bug itu
Menyebalkan karena Mac pada akhirnya terlalu sering membuka semuanya lagi. Kalau mencari cara mencegahnya, jawabannya selalu hanya “matikan pengaturan yang memang sudah dimatikan itu”