Apple will es in macOS 11 Big Sur offenbar schwer bis unmöglich machen, dass installierte Programme die Internetverbindungen der Dienste des Herstellers kontrollieren oder blockieren können. Apple hat dafür eine Ausschlussliste von über 50 eigenen Apps und Prozessen in das Betriebssystem integriert: Darin enthalten sind Dienste wie FaceTime, Software-Aktualisierung, App Store und Apples Push-Service, wie Entwickler warnen. Diese Prozesse können dadurch Netzwerkfilter auf Programmebene und etwa auch VPN-Apps umgehen.

Kernel-Extensions haben ausgedient

Apples Ausschlussliste "ContentFilterExclusionList" besteht bereits in macOS 10.15 Catalina, doch in dieser Version des Betriebssystems sind Netzwerkfilter wie etwa das Firewall-Tool Little Snitch noch in der Lage, als Kernel-Erweiterungen (Network Kernel Extensions) zu arbeiten und damit auch die Verbindungen von Apples auf der Liste geführten Dienste auf Systemebene zu sehen sowie zu blockieren – trotz Ausschlussliste.

Mit macOS 11 Big Sur wird das allerdings verhindert: Apple stuft die Kernel-Extensions seit 2019 als abgekündigt ein. Sie werden durch verschiedene "System Extensions" abgelöst, die nicht mehr im Kernelspace, sondern im Userspace laufen und somit nicht mehr so tief in das Betriebssystem eingreifen können. Die auf der Ausschlussliste stehenden Dienste des Herstellers bleiben damit für installierte Apps unsichtbar, wie der Sicherheitsforscher Patrick Wardle bestätigte.

In macOS 11 sind Nutzer dadurch nicht länger in der Lage, eine Liste aller Netzwerkverbindungen direkt auf ihrem Mac einzusehen und bestimmte Apple-Apps oder Dienste zu blockieren, wie der Trip-Mode-Entwickler David Dudok de Wit ausführt. Das Datenspar-Tool Trip Mode ist dadurch künftig nicht mehr in der Lage, Apple-Dienste zu blockieren, um unterwegs Daten zu sparen, wenn der Mac seine Internetverbindung unterwegs beispielsweise per Tethering über das Mobilfunknetz aufbaut.

Er könne verstehen, dass Apple durch die Maßnahme eine Manipulation des Netzwerkverkehrs erschweren wolle, doch dafür gebe es andere Wege – man dürfe nicht Dritt-Apps von einer solchen Funktionalität generell ausschließen. Er hoffe, dass der Hersteller den Schritt überdenkt, so de Wit, der auch einen detaillierten Bug-Report zu der Angelegenheit bei Apple eingereicht hat.

(lbe)