La función Private Relay (Beta) de Apple llama a los servidores de Apple sin respetar las reglas del firewall del sistema, creando una fuga que ni nosotros, ni tú, podemos detener sin desactivar toda la función Private Relay. La funcionalidad de Retransmisión Privada es casi como un túnel VPN, o algo similar a cómo funciona Tor. Dirige tu tráfico de red de forma encriptada a través de servidores de retransmisión antes de que llegue a Internet. La función aún está en fase beta y solo está disponible en ciertas regiones...
Comentarios
No conocemos ninguna forma de evitar que Private Relay filtre este tráfico ????
tan simple como dejar de comprar y USAR dispositivos apple. que ya es hora.
#2 Ya es hora? por que? y la alternativa es...? y si se necesita para el trabajo? que pesaos con el tema, que cada uno se compre y use lo que le de la gana...
#3 Está claro que Apple es el defensor de las libertades y del consumidor. Como consumidor, y sabiendo estos pequeños detalles, puedes hacer lo que te plazca.
#2 Lo van a vender como una mejora, no como un problema.
Traducción automática:
La función Private Relay (Beta) de Apple llama a los servidores de Apple sin respetar las reglas del firewall del sistema, creando una fuga que ni nosotros, ni tú, podemos detener sin desactivar toda la función Private Relay.
La funcionalidad de Retransmisión Privada es casi como un túnel VPN, o algo similar a cómo funciona Tor. Dirige tu tráfico de red de forma encriptada a través de servidores de retransmisión antes de que llegue a Internet. La función aún está en fase beta y solo está disponible en ciertas regiones, y necesitas una suscripción de pago a iCloud+ para activarla.
Cuando en Mullvad monitorizamos nuestras conexiones de red mientras desarrollábamos nuestra aplicación, vimos algo que no debería estar ahí: ¡Tráfico QUIC saliendo del ordenador fuera del túnel VPN! ¡Esto es una fuga! Rastreamos el envío hasta la función de retransmisión privada, y al desactivar la retransmisión privada se detuvieron las fugas. No sabemos con seguridad que el tráfico pertenece al Relé Privado, pero seguro que lo provoca.
Vale la pena señalar que el Relé Privado (en su mayoría) se deshabilita a sí mismo tan pronto como se añade cualquier regla de firewall a PF (el firewall del sistema en los dispositivos macOS). La aplicación Mullvad VPN sí añade reglas de firewall. Una vez que se conecta la aplicación Mullvad, Private Relay anuncia que se ha desactivado. No vemos ninguna correlación entre el tráfico del usuario y los paquetes que se filtran. Creemos que son sólo una señal de latido del corazón que llama a casa a Apple. No sabemos qué información se transmite a Apple, pero dado que el destino son los servidores de Apple, es una fuerte señal para tu red local y tu ISP de que podrías ser un usuario de macOS.
Cómo reproducir la fuga
Si tienes una suscripción a iCloud+ puedes probarlo tú mismo fácilmente. Sigue estos pasos y observa que Private Relay no respeta las reglas de tu firewall:
Configura la monitorización de todo el tráfico de QUIC mediante sudo tcpdump udp port 443.
Habilite la retransmisión privada y verifique que funciona (Debería mostrar una notificación diciendo "La retransmisión privada está activa"). La aplicación Mullvad VPN impedirá que funcione si se conecta durante el arranque. Si el relé privado no está disponible, elimine nuestra app o cualquier otro cliente VPN infractor, reinicie y vuelva a empezar.
Confirme que se puede observar el tráfico QUIC. Antes de aplicar la regla del cortafuegos, también debería poder ver el tráfico en tcpdump si envía algunos bytes sobre nc -u apple.com 443
Añada una regla PF para bloquear el tráfico QUIC en /etc/pf.conf, recargue las reglas y habilite el cortafuegos.
Anexe el bloqueo de retorno rápido proto udp de cualquier a cualquier puerto 443 a /etc/pf.conf
Recargue las reglas mediante sudo pfctl -f /etc/pf.conf.
Vaciar cualquier estado del firewall a través de sudo pfctl -F states
Habilite PF mediante sudo pfctl -e.
Verifique que ya no puede enviar tráfico a través de nc -u apple.com 443
Ahora, puede verificar que un goteo de tráfico QUIC todavía fluye desde su ordenador según la salida de tcpdump, sin embargo, usted no sería capaz de hacer nuevas conexiones QUIC sobre UDP a los hosts en el puerto 443. Esto significa que Private Relay no juega con las mismas reglas que nc.
También vale la pena señalar que estas fugas QUIC ocurren en la interfaz de red física, incluso si se conecta una VPN y se configura la tabla de enrutamiento para enrutar todo a través de la interfaz VPN. Por lo tanto, no sólo está eludiendo las reglas del cortafuegos, sino que tampoco está respetando la tabla de enrutamiento.
Para restablecer su ordenador y el cortafuegos de nuevo, sólo tiene que eliminar la regla de /etc/pf.conf y ejecutar sudo pfctl -f /etc/pf.conf de nuevo.
¿Qué hacer ahora?
No conocemos ninguna forma de evitar que Private Relay filtre este tráfico, aparte de desactivar la función por completo. Esto se hace en el mismo lugar donde se activa. Consulte las instrucciones de Apple.
Es difícil especular sobre la gravedad de esta filtración, ya que el tráfico está cifrado, lo que significa que no podemos saber realmente lo que contiene. Sin embargo, esto señala a tu red local y a tu ISP que estás utilizando un dispositivo macOS. Si tu modelo de amenazas lo prohíbe, deberías desactivar el Private Relay.