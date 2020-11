In macOS 11 kann die Firewall Little Snitch vorerst nur eingeschränkt arbeiten. Der Netzwerkverkehr bestimmter Apple-Apps und -Dienste bleibt für das Tool nämlich unsichtbar: Grund dafür sei eine Einschränkung in Apples Network-Extension-Programmierschnittstelle, die "erstaunlicherweise" eine Reihe von Systemdiensten auf eine Whitelist setzt, wie die Entwickler mitteilten. Dadurch könne vorinstallierte Apple-Software wie etwa der App Store oder die integrierte Software-Aktualisierung ihre Netzwerkaktivitäten vor Firewall-Apps von Drittanbietern verbergen.

Firewall arbeitet nicht mehr auf Kernel-Ebene

Man könne nicht länger auf den bisherigen Weg setzen, die eigene Firewall als Kernel Extension umzusetzen, um so den kompletten ausgehenden Netzwerkverkehr zu überwachen. Stattdessen sei in macOS 11 die Verwendung von Apples Network-Extension-API mit der entsprechenden Einschränkung vorgeschrieben, schreibt der Little-Snitch-Entwickler Objective Development in einem FAQ-Eintrag zur neuen Version 5 der Software, die speziell für macOS 11 gedacht ist.

Die Little-Snitch-Entwickler suchen derzeit nach einem Ansatz, den Netzwerkverkehr der auf Apples Whitelist stehenden Dienste mit "anderen Techniken" doch noch sichtbar zu machen. Da die Limitierungen bereits mediales Aufsehen erfahren haben, hoffe man zudem, dass Apple diese mit einem System-Update in Zukunft außerdem selbst ausräumt.

Kernel Extensions von Apple abgekündigt

Sicherheitsforscher und andere App-Anbieter warnen seit Oktober vor Apples Ausschlussliste, die etwa die Network Extensions NEFilterDataProvider und NEAppProxyProviders betrifft und die bereits in macOS 10.15 Catalina existiert. In Catalina können Netzwerkfilter aber noch auf Kernel-Ebene arbeiten und sind so von der Einschränkung letztlich nicht betroffen.

Kernel Extensions gelten bei Apple seit 2019 als abgekündigt, macOS warnt bereits vor der Verwendung der "veralteten Systemerweiterungen". Sie werden durch System Extensions abgelöst, die im Userspace laufen – der Schritt soll das Betriebssystem sicherer machen. macOS 11 unterstützt Kernel Extensions von Drittherstellern zwar noch in begrenzter Form - lädt diese aber nicht mehr, wenn bereits ein "Äquivalent" als System Extension existiert, so wie es auch bei dem Netzwerkfilter Little Snitch der Fall ist. (lbe)