macOS Sequoia 15’te DNS şifrelemesinin atlanma ihtimali

 (obdev.at)
1 puan yazan GN⁺ 2024-09-18 | 1 yorum | WhatsApp'ta paylaş

Uyarı: macOS Sequoia 15, DNS şifrelemesini atlayabiliyor olabilir

DNS şifreleme 101

  • Web tarayıcısına bir ana makine adı (apple.com gibi) girdiğinizde, bilgisayarın sunucuya bağlanabilmesi için bu adın bir IP adresine çevrilmesi gerekir
  • Bu sorgu genellikle şifrelenmeden yapılır; böylece internet sağlayıcınız ve bağlantınızı izleyen diğer taraflar hangi siteleri ziyaret ettiğinizi görebilir
  • Little Snitch 6, bu sorguları korumak için DNS şifreleme adlı yeni bir özellik sunuyor
  • DNS şifreleme etkinleştirildiğinde, tüm ad sorguları Little Snitch üzerinden şifreli olarak gerçekleştirilir
  • Bunun için Little Snitch bir DNS proxy’si kaydeder ve macOS tüm DNS isteklerini bu proxy’ye göndererek sorguların şifreli yapılmasını sağlar

Ancak…

  • macOS 15 Sequoia’da DNS ile ilgili bir sorunu araştırırken, bazı DNS isteklerinin — özellikle belirli düşük seviyeli legacy API’ler üzerinden yapılanların — proxy’ye yönlendirilmediği keşfedildi
  • Görünüşe göre macOS Sequoia’da bir hata var ve bazı istekler kurulu DNS proxy’sini atlayarak sistemin varsayılan ad sunucusuna şifrelenmemiş şekilde gönderiliyor
  • Bu hata yalnızca Little Snitch’i değil, her tür DNS proxy’sini etkiliyor olabilir
  • Bu nedenle Little Snitch 6’nın yeni DNS şifreleme özelliğini ya da başka bir üçüncü taraf DNS proxy’sini kullanıyorsanız, Apple bunu gelecek bir macOS güncellemesinde düzeltene kadar bazı DNS sorgularının proxy’yi atlayabileceğinin farkında olmalısınız
  • Bilgi olarak, daha yüksek seviyeli API’ler üzerinden yapılan DNS sorguları bu hatadan etkilenmiyor. Örneğin Safari veya Chrome ile web’de gezinme hâlâ şifreli sorgulardan yararlanıyor. Buna karşılık Firefox etkilenebilir

Yeniden üretme yöntemi

  1. Little Snitch ayarlarında DNS şifrelemeyi etkinleştirin
  2. Wireshark’ı port 53 capture filter ile başlatın
  3. Xcode Playground’da aşağıdaki kodu çalıştırın: 
    import Foundation
let domain = "dnsproxytest.com"
var result: UnsafeMutablePointer<addrinfo>?
let status = getaddrinfo(domain, nil, nil, &result)
  • dnsproxytest.com için yapılan sorgunun, Wireshark’ta şifrelenmemiş biçimde UDP port 53 üzerinde (şifrelenmemiş sorgular için varsayılan) göründüğünü doğrulayabilirsiniz
  • Ayrıca Little Snitch Ağ Monitörü, bu sorguya ilişkin hiçbir trafik göstermiyor. Bu da sorgunun ağ filtresini tamamen atladığını gösteriyor
  • Bu hata Apple’a bildirildi ve hızlı bir düzeltme umuluyor. Gelişmeler oldukça güncelleme paylaşılacak

Güncelleme 2024-09-17, 19:10

  • Ek araştırmalar, bu hatanın en az macOS 14.5 Sonoma’dan beri var olduğunu ve daha eski sürümlerde de bulunabileceğini gösteriyor. Şu anda daha eski 14.x sistemlere erişim olmadığından test yapılamıyor

GN⁺ özeti

  • Bu yazı, macOS Sequoia 15’te DNS şifrelemesinin atlanabildiği bir hatayı ele alıyor
  • DNS şifreleme, internet kullanıcılarının gizliliğini koruyan önemli bir özellik
  • Bu hata özellikle düşük seviyeli legacy API’ler üzerinden yapılan DNS isteklerini etkiliyor
  • Apple bu sorunu çözene kadar kullanıcıların bazı DNS sorgularının şifrelenmemiş olabileceğinin farkında olması gerekiyor
  • Benzer işlev sunan diğer projeler arasında Pi-hole gibi DNS filtreleme çözümleri bulunuyor

İlgili okumalar

1 yorum

 
nearfall 2024-09-18

Önemli bilgi için teşekkürler.
En azından Safari ve Chrome’un güvende olabileceği söyleniyor, bu da sevindirici.