1 điểm bởi GN⁺ 2024-10-17 | 1 bình luận | Chia sẻ qua WhatsApp
  • Mullvad cho biết trên macOS có thể xảy ra rò rỉ lưu lượng ngay sau khi cập nhật hệ thống, và giải pháp hiện đã được xác nhận là khởi động lại
  • Trong tình huống này, tường lửa macOS dường như không hoạt động bình thường, khiến các quy tắc tường lửa đã thiết lập bị bỏ qua
  • Phần lớn lưu lượng vẫn đi vào đường hầm VPN do bảng định tuyến, nhưng ứng dụng không phải lúc nào cũng tuân theo bảng định tuyến
  • Từ macOS 14.6 đến bản beta 15.1 mới nhất, một số ứng dụng và dịch vụ của Apple có thể gửi lưu lượng ra ngoài đường hầm
  • Mullvad đã báo cáo vấn đề này cho Apple và đang tiếp tục điều tra các biện pháp обход có thể áp dụng ở cấp ứng dụng

Các điều kiện rò rỉ được xác nhận sau khi cập nhật

  • Sau khi cập nhật hệ thống macOS, có thể xảy ra rò rỉ lưu lượng
  • Trong phạm vi Mullvad hiện nắm được, khởi động lại sẽ khắc phục được vấn đề
  • Ở trạng thái này, tường lửa macOS không hoạt động bình thường và dường như bỏ qua các quy tắc tường lửa đã cấu hình
  • Do thiết lập của bảng định tuyến, phần lớn lưu lượng vẫn đi vào đường hầm VPN
  • Tuy nhiên, ứng dụng không bắt buộc phải luôn tuân theo bảng định tuyến, nên nếu muốn vẫn có thể gửi lưu lượng ra ngoài đường hầm VPN
    • Ứng dụng và dịch vụ của chính Apple nằm trong ví dụ này
    • Phạm vi ảnh hưởng là từ macOS 14.6 đến bản beta 15.1 mới nhất
  • Mullvad đã báo cáo vấn đề này cho Apple, đồng thời tiếp tục cung cấp thêm thông tin và điều tra các biện pháp vòng tránh có thể thực hiện trong ứng dụng

Cách kiểm tra xem bạn có bị ảnh hưởng hay không

  • Trong Terminal, thêm một quy tắc tường lửa chặn toàn bộ lưu lượng
echo "block drop quick all" | sudo pfctl -ef -
  • Kiểm tra xem có gửi lưu lượng ra ngoài đường hầm VPN hay không
curl https://am.i.mullvad.net/connected
  • Sau khi thử nghiệm, tắt tường lửa và xóa toàn bộ quy tắc
sudo pfctl -d
sudo pfctl -f /etc/pf.conf
  • Cũng có thể kiểm tra rò rỉ trong ứng dụng Mullvad
    • Xác nhận rằng hiện không ở trạng thái kết nối VPN
    • Kiểm tra giao diện mặc định
route get mullvad.net | sed -nE 's/.*interface: //p'
  • Dùng ứng dụng Mullvad để kết nối tới máy chủ VPN
  • Trong lệnh bên dưới, thay <interface> bằng giao diện đã xác nhận ở bước trước rồi chạy
curl --interface <interface> https://am.i.mullvad.net/connected
  • Khi hoạt động bình thường, phản hồi phải cho biết đang kết nối với Mullvad hoặc không thể kết nối tới máy chủ
  • Nếu phản hồi cho biết không kết nối với Mullvad, thì lưu lượng đang bị rò rỉ

1 bình luận

 
GN⁺ 2024-10-17
Các ý kiến trên Hacker News
  • Mỗi lần cập nhật macOS, một số cài đặt hệ thống, bao gồm cả tường lửa, lại bị đưa về mặc định, nên lần nào cũng phải tự đổi lại từng thứ
    Sau vài lần thấy việc cài đặt/cập nhật macOS hoặc iOS mất nhiều thời gian hơn khi có kết nối Internet, giờ tôi tắt router trong lúc cập nhật
    Trong bối cảnh các tính năng AI liên tục được tích hợp vào Windows, macOS, Android, v.v., có vẻ trong lúc cập nhật, lượng dữ liệu cá nhân được tải lên hoặc dữ liệu phía máy chủ được tải xuống sẽ còn tăng thêm dưới danh nghĩa “chuẩn bị” các tính năng AI mới
    Nếu không có Internet, trình cài đặt buộc phải dời quá trình đó lại sau, và tôi cho rằng như vậy sẽ có thêm thời gian cho đến khi đổi các thiết lập mặc định sau khi khởi động
    Có thêm các bài liên quan tại https://news.ycombinator.com/item?id=26418809https://news.ycombinator.com/item?id=26303946

    • Nếu mỗi lần cài đặt hay cập nhật mà phải tắt cả router, thì với một hệ điều hành đã bỏ tiền mua, có vẻ nó đòi hỏi quá nhiều công sức
    • Phần phần cứng tuyệt đẹp của Mac đang bị các phiên bản macOS gần đây làm cho quá lãng phí
    • Tôi thắc mắc làm sao có thể cài bản cập nhật khi không có Internet
      Suốt mấy năm nay, cập nhật tự động cứ thất bại với lỗi kiểu “cá nhân hóa phần mềm thất bại, hãy kiểm tra Internet”. Internet vẫn hoạt động bình thường, vậy mà cuối cùng muốn cập nhật vẫn cần live USB và kết nối Ethernet
    • Việc macOS đưa một số cài đặt, bao gồm tường lửa, về mặc định sau mỗi lần cập nhật thì Windows cũng đã làm trong một thời gian
      Nhìn từ góc độ đó, chỉ Linux là tương đối “sạch”, nhưng dạo này một số distro cũng bắt đầu lén nhét vào các yếu tố mang tính spyware. Quá trình enshittification của hệ điều hành vẫn tiếp diễn
    • Mỗi lần nâng cấp iPhone là Bluetooth lại được bật lên, thật sự rất bực
      Có vẻ Apple muốn khách hàng dùng một số tính năng nhất định nên cứ bật chúng lên khi nâng cấp, và điều đó khá khó chịu
  • Nếu muốn VPN không rò rỉ, phải triển khai ở cấp router chứ không phải bên trong thiết bị. Thiết bị nào cũng vậy, nhưng với thiết bị Apple thì càng đúng
    Tôi rất khuyến nghị bắt lưu lượng trên đoạn có dây rồi đưa vào Wireshark để xem. Có thể làm bằng router hoặc passive Ethernet tap, và bạn sẽ thấy khá nhiều gói đi đến nơi không phải điểm vào VPN
    Dùng router cũng có thể kiểm tra rò rỉ từ điện thoại. Nếu bật Wi-Fi Calling, bạn cũng sẽ nhận ra điện thoại tạo kết nối TCP đến máy chủ điều khiển của nhà mạng cứ mỗi 30 giây
    Ví dụ, nếu bạn dùng T-Mobile và đang ở nước ngoài, dù không dùng nó làm SIM chính, nhà mạng vẫn có được log của mọi IP đầu ra mà bạn dùng
    Việc Apple có vẻ hỗ trợ VPN và các extension lọc mạng gần như chỉ là mồi nhử, và họ sẵn sàng tắt chúng đối với lưu lượng của chính mình
    Trên iOS, App Store đi vòng qua VPN, và nếu dùng VPN thì Apple đôi khi còn chặn cả việc tải bản cập nhật. Tôi biết điều này khi chạy VPN trên router rồi thấy tải cập nhật thất bại
    Trên Mac, đặc biệt lúc khởi động lần đầu có rất nhiều vấn đề. Trông như Mac không muốn thiết lập VPN cho đến khi nó kết nối ra ngoài VPN một lần
    Tôi thường gặp tình trạng tunnel WireGuard on-demand dùng Cloudflare Warp không gửi được gói sau khi máy thức dậy từ sleep. Rút Ethernet ra, tắt chế độ luôn bật, đợi khoảng 30 giây rồi bật lại và cắm Ethernet vào thì kết nối được
    Tuy nhiên tôi vẫn chưa chắc trong quá trình này có thật sự không rò rỉ hay không, nên cần điều tra thêm

  • Ngay cả trước khi đăng nhập cũng có lúc âm thanh của tab bị rò ra
    Dù đã tắt mọi tính năng “khôi phục”, macOS vẫn “khởi động” trình duyệt trước khi đăng nhập sau khi restart, và nội dung từng bị tạm dừng trước khi reboot hoặc từ vài ngày trước đôi khi còn tự động phát
    Sau đó tôi đã vô hiệu hóa tính năng đó khá sâu, nhưng từ đó không còn tin nó nữa

    • Có vẻ Apple muốn làm nóng sẵn TCP/IP stack và Safari cho những người dùng muốn phản hồi tức thì
      Về dài hạn, họ sẽ biến thiện chí này thành tín dụng để chống đỡ chỉ trích rằng “Safari dở”, rồi cuối cùng Apple và Google sẽ đẩy Internet theo hướng cuộc chiến nơi trình duyệt trở thành chợ ứng dụng
      Cả hai công ty đều thắng, có thể đổ lỗi cho nhau, và vừa tạo động lực cho hành vi phản cạnh tranh vừa khiến mọi thứ trông như lợi ích của từng tổ chức tình cờ khớp nhau
      Internet đã bị một số ít tập đoàn khổng lồ chiếm giữ, game hóa, hàng hóa hóa và tích hợp theo chiều dọc
      Thiết bị di động về thực chất là thiết bị theo dõi có tính gây nghiện, còn chính phủ thì quá quan tâm đến việc dùng những công cụ hào nhoáng đó cho chức năng hành chính nên không thấy rủi ro khi bỏ mặc những điểm mà luật pháp, công nghệ và kinh doanh có thể khớp lại để bị lạm dụng một cách có hệ thống
    • Tôi khó nghĩ ra tính năng nào không mong muốn bằng việc phát ra âm thanh khi mở laptop, vậy mà Apple lại đem nó đến như thể đó là một tính năng
    • Tôi không hiểu làm sao có thể mở ứng dụng khi thậm chí chưa đăng nhập
      Làm sao hệ thống biết người dùng là ai, và biết phải mở ứng dụng nào. Nếu là trước đăng nhập, tôi nghi rằng thực ra nó đã tự động đăng nhập rồi chỉ không hiển thị trên màn hình
      Trông như một lỗi bảo mật khá lớn, và thật lạ là nó không bị khai thác
      Tôi nhớ đến chuyện trước đây khi có cuộc gọi FaceTime, dù không nhận, iPhone vẫn bật camera và gửi video cho người gọi
    • Nếu FileVault đang bật thì tôi không biết chuyện này có thể xảy ra thế nào, và nghe gần như là vượt qua cơ chế bảo mật
      Tôi đã nghĩ rằng sau khi reboot và trước khi nhập mật khẩu, dữ liệu người dùng vẫn được mã hóa nên hệ thống không được biết gì về người dùng
      Như vậy nó cũng không thể biết trước khi reboot có ứng dụng nào đang mở, và càng không thể phát âm thanh
    • Trình duyệt trên iPhone cũng có chuyện tương tự
      Khi mở trình duyệt, trang mở cuối cùng hiện ra thoáng qua, kể cả trong trường hợp tôi đã cẩn thận đóng nó trước khi đóng trình duyệt
      Chưa từng dẫn đến vấn đề lớn, nhưng rất khó chịu, và tùy tình huống có thể trở thành vấn đề thật sự
  • Ngày bài viết ghi là hôm nay, nhưng có cảm giác như tôi đã đọc đúng bài này khoảng một tháng trước

  • Tôi nghe nói NixOS tốt, nhưng vì trình duyệt và các ứng dụng hay dùng nên đến giờ vẫn nghĩ mình cần một hệ điều hành đồ họa
    Tôi muốn thoát khỏi hệ sinh thái macOS, nhưng mọi thứ đang ngày càng đi theo hướng tệ hơn. Có vẻ tôi đã xây dựng toàn bộ đời sống số của mình xoay quanh Apple

    • GUI trên NixOS cũng chạy không vấn đề gì. Bình luận này cũng được gửi từ trình duyệt trên NixOS
  • Việc “ứng dụng không cần tuân theo bảng định tuyến” đúng là điên rồ
    Nếu đó chỉ là thứ hư cấu để tham khảo, thì không hiểu vì sao lại tạo bảng định tuyến và hiển thị cho người dùng
    Các nhà cung cấp nên ngừng tự trao đặc quyền cho chính mình trên thiết bị của người dùng

    • Cũng có những trường hợp sử dụng chính đáng cần bind socket vào một interface cụ thể
  • Lần khởi động đầu tiên ngay sau khi cập nhật hệ thống macOS từ lâu đã đầy lỗi
    Nó mở hàng loạt ứng dụng thậm chí trước đó tôi còn không để mở, thường trông giống như 5–10 ứng dụng vừa thoát gần đây
    Đó là những ứng dụng đã được thoát hoàn toàn, và thiết lập “Resume” cũng đã tắt. Không phải chỉ khôi phục đơn giản, mà là chạy ứng dụng theo kiểu yêu cầu tạo cửa sổ mới, và còn chạy trước khi việc mount ổ đĩa hoàn tất
    Vì vậy mỗi lần cập nhật, các ứng dụng tôi hay dùng đột nhiên hiện lên và báo rằng thiết lập và dữ liệu đã biến mất
    Khởi động lại lần nữa thì ổn nên không phải vấn đề lớn, nhưng trông rất cẩu thả và khiến hệ điều hành có cảm giác không ổn định
    Vấn đề tường lửa có thể không liên quan đến chuyện này, nhưng cũng nên chờ xem liệu lần này Apple có sửa luôn lỗi đó không

    • Có vẻ nó chạy tất cả ứng dụng đang mở tại thời điểm nhấn nút “Update”. Ngay cả khi quá trình cài đặt thực sự bắt đầu sau đó 30 phút, trông vẫn như vậy
    • Tôi không rõ thiết lập “Resume” thực sự làm gì
      Thật bực mình vì Mac cuối cùng lại mở lại mọi thứ quá thường xuyên. Khi tìm cách ngăn lại, câu trả lời luôn chỉ là “hãy tắt cái thiết lập mà bạn đã tắt rồi”