macOS Sequoia 15 में DNS एन्क्रिप्शन को बायपास किए जाने की संभावना

 (obdev.at)
1 पॉइंट द्वारा GN⁺ 2024-09-18 | 1 टिप्पणियां | WhatsApp पर शेयर करें

चेतावनी: macOS Sequoia 15 DNS एन्क्रिप्शन को बायपास कर सकता है

DNS एन्क्रिप्शन 101

  • जब आप वेब ब्राउज़र में कोई host name (जैसे apple.com) दर्ज करते हैं, तो कंप्यूटर के सर्वर से कनेक्ट होने के लिए उस नाम को IP address में बदलना आवश्यक होता है
  • यह lookup आमतौर पर बिना एन्क्रिप्शन के किया जाता है, इसलिए इंटरनेट प्रदाता और कनेक्शन की निगरानी करने वाले अन्य पक्ष यह देख सकते हैं कि आप कौन-सी साइटें देख रहे हैं
  • इन lookups को सुरक्षित करने के लिए Little Snitch 6 एक नई सुविधा, DNS एन्क्रिप्शन, प्रदान करता है
  • DNS एन्क्रिप्शन सक्रिय होने पर सभी name lookups, Little Snitch के माध्यम से एन्क्रिप्टेड रूप में किए जाते हैं
  • इसके लिए Little Snitch एक DNS proxy register करता है, और macOS सभी DNS requests उसी proxy को भेजता है ताकि lookups एन्क्रिप्टेड रूप में किए जा सकें

लेकिन…

  • macOS 15 Sequoia में DNS-संबंधित समस्या की जांच के दौरान यह पाया गया कि कुछ DNS requests, खासकर वे जो कुछ low-level legacy APIs के माध्यम से की जाती हैं, proxy तक पहुँचाई ही नहीं जातीं
  • ऐसा लगता है कि macOS Sequoia में एक bug है, जिसके कारण कुछ requests इंस्टॉल किए गए DNS proxy को बायपास करके सिस्टम के डिफ़ॉल्ट name server पर बिना एन्क्रिप्शन के भेज दी जाती हैं
  • यह bug केवल Little Snitch ही नहीं बल्कि हर प्रकार के DNS proxy को प्रभावित कर सकता है
  • इसलिए यदि आप Little Snitch 6 की नई DNS एन्क्रिप्शन सुविधा या किसी अन्य third-party DNS proxy का उपयोग कर रहे हैं, तो Apple द्वारा भविष्य के macOS update में इसे ठीक किए जाने तक यह समझना ज़रूरी है कि कुछ DNS lookups proxy को बायपास कर सकते हैं
  • संदर्भ के लिए, high-level APIs के माध्यम से किए गए DNS lookups इस bug से प्रभावित नहीं होते। उदाहरण के लिए, Safari या Chrome में वेब ब्राउज़िंग अब भी एन्क्रिप्टेड lookups का लाभ लेती है। दूसरी ओर, Firefox प्रभावित हो सकता है

पुनरुत्पादन का तरीका

  1. Little Snitch settings में DNS एन्क्रिप्शन सक्रिय करें
  2. Wireshark को port 53 capture filter के साथ शुरू करें
  3. Xcode playground में निम्न कोड चलाएँ: 
    import Foundation
let domain = "dnsproxytest.com"
var result: UnsafeMutablePointer<addrinfo>?
let status = getaddrinfo(domain, nil, nil, &result)
  • आप पुष्टि कर सकते हैं कि dnsproxytest.com के लिए lookup, Wireshark में बिना एन्क्रिप्शन के UDP port 53 (अनएन्क्रिप्टेड lookups का डिफ़ॉल्ट) पर दिखाई देता है
  • साथ ही, Little Snitch network monitor इस lookup से संबंधित कोई traffic बिल्कुल नहीं दिखाता। इसका मतलब है कि यह lookup network filter को पूरी तरह बायपास कर गया
  • इस bug की रिपोर्ट Apple को कर दी गई है, और उम्मीद है कि इसका जल्दी समाधान आएगा। आगे भी updates दिए जाते रहेंगे

अपडेट 2024-09-17, शाम 7:10

  • आगे की जांच से पता चला कि यह bug कम-से-कम macOS 14.5 Sonoma से मौजूद था, और संभव है कि इससे पुराने versions में भी हो। इस समय पुराने 14.x systems तक पहुँच न होने के कारण परीक्षण संभव नहीं है

GN⁺ का सार

  • यह लेख macOS Sequoia 15 में DNS एन्क्रिप्शन के बायपास हो सकने वाले bug पर केंद्रित है
  • DNS एन्क्रिप्शन इंटरनेट उपयोगकर्ताओं की privacy की रक्षा करने वाली एक महत्वपूर्ण सुविधा है
  • यह bug खासकर low-level legacy APIs के माध्यम से किए गए DNS requests को प्रभावित करता है
  • Apple द्वारा इस समस्या के समाधान तक उपयोगकर्ताओं को यह समझना चाहिए कि कुछ DNS lookups एन्क्रिप्टेड न हों
  • इसी तरह की सुविधा देने वाले अन्य projects में Pi-hole जैसे DNS filtering solutions शामिल हैं

संबंधित पढ़ाई

1 टिप्पणियां

 
nearfall 2024-09-18

महत्वपूर्ण जानकारी के लिए धन्यवाद।
फिलहाल Safari और Chrome को लेकर निश्चिंत रहा जा सकता है, यह राहत की बात है।