1 पॉइंट द्वारा GN⁺ 2024-10-17 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • Mullvad ने बताया कि macOS में सिस्टम अपडेट के तुरंत बाद ट्रैफिक लीक हो सकता है, और फिलहाल पुष्टि किया गया समाधान reboot है
  • समस्या की स्थिति में macOS firewall सामान्य रूप से काम नहीं करता, इसलिए सेट किए गए firewall rules अनदेखे होते दिखते हैं
  • routing table की वजह से ज़्यादातर traffic VPN tunnel में चला जाता है, लेकिन apps हमेशा routing table का पालन करें, ऐसा ढांचा नहीं है
  • macOS 14.6 से लेकर हालिया 15.1 beta तक, कुछ Apple apps और services tunnel के बाहर traffic भेज सकती हैं
  • Mullvad ने Apple को समस्या report कर दी है, और app स्तर पर संभव workarounds की जांच जारी रखी है

अपडेट के बाद पुष्टि हुई लीक की स्थितियां

  • macOS सिस्टम अपडेट के बाद traffic leak हो सकता है
  • Mullvad को अभी तक जितना पता चला है, उसके अनुसार reboot करने से समस्या हल हो जाती है
  • इस स्थिति में macOS firewall ठीक से काम नहीं करता और सेट किए गए firewall rules को अनदेखा करता दिखता है
  • routing table settings की वजह से ज़्यादातर traffic VPN tunnel के अंदर चला जाता है
  • हालांकि apps के लिए routing table का पालन करना अनिवार्य नहीं है, इसलिए यदि चाहें तो वे VPN tunnel के बाहर traffic भेज सकती हैं
    • Apple के अपने apps और services इसके उदाहरणों में शामिल हैं
    • दायरा macOS 14.6 से हालिया 15.1 beta तक है
  • Mullvad ने Apple को यह समस्या report की है, और अतिरिक्त जानकारी देने तथा app में संभव workarounds की जांच जारी रखे हुए है

प्रभावित हैं या नहीं, यह जांचने का तरीका

  • Terminal में सभी traffic को block करने वाला firewall rule जोड़ें
echo "block drop quick all" | sudo pfctl -ef -
  • जांचें कि traffic VPN tunnel के बाहर भेजा जा रहा है या नहीं
curl https://am.i.mullvad.net/connected
  • प्रयोग के बाद firewall को disable करें और सभी rules साफ करें
sudo pfctl -d
sudo pfctl -f /etc/pf.conf
  • Mullvad app में भी leak है या नहीं, जांच सकते हैं
    • सुनिश्चित करें कि आप VPN से connected नहीं हैं
    • default interface जांचें
route get mullvad.net | sed -nE 's/.*interface: //p'
  • Mullvad app से VPN server से connect करें
  • नीचे दिए command में <interface> को पिछले step में मिली interface से बदलकर चलाएं
curl --interface <interface> https://am.i.mullvad.net/connected
  • सही ढंग से काम करने पर response में यह आना चाहिए कि आप Mullvad से connected हैं या server से connect नहीं किया जा सकता
  • अगर response आता है कि आप Mullvad से connected नहीं हैं, तो इसका मतलब है कि traffic leak हो रहा है

1 टिप्पणियां

 
GN⁺ 2024-10-17
Hacker News की राय
  • हर बार macOS अपडेट करने पर firewall सहित कुछ system settings default पर लौट जाती थीं, इसलिए हर बार उन्हें एक-एक करके फिर बदलना पड़ता था
    macOS या iOS install/update करते समय अगर internet connected हो, तो installation time ज़्यादा लंबा हो जाता है—ऐसा कुछ बार देखने के बाद अब मैं update के दौरान router बंद रखता/रखती हूँ
    Windows, macOS, Android वगैरह में AI features लगातार integrate हो रहे हैं, इसलिए update के दौरान भी नए AI features को “तैयार” करने के नाम पर personal data upload या server-side data download और बढ़ने की आशंका है
    Internet न हो तो installer को वह प्रक्रिया बाद के लिए टालनी ही पड़ेगी, और boot के बाद default settings बदलने तक कुछ समय मिल जाता है—मुझे ऐसा लगता है
    संबंधित बातें https://news.ycombinator.com/item?id=26418809 और https://news.ycombinator.com/item?id=26303946 पर और हैं

    • अगर हर install या update के समय router तक बंद करना पड़े, तो पैसे देकर खरीदे गए operating system के हिसाब से यह बहुत ज़्यादा मेहनत मांगता है
    • Mac का खूबसूरत hardware हालिया macOS versions की वजह से बहुत व्यर्थ जा रहा है
    • बिना internet के update कैसे install किया जा सकता है, यह जानना चाहूँगा/चाहूँगी
      कई सालों से automatic updates “software personalization failed, internet check करें” जैसी error के साथ लगातार fail होते रहे। Internet बिल्कुल ठीक चल रहा था, फिर भी update करने के लिए आखिरकार live USB और Ethernet connection की ज़रूरत पड़ी
    • macOS का हर update पर firewall सहित कुछ settings को default पर वापस कर देना—Windows भी यह कुछ समय तक करता रहा है
      उस नज़रिए से Linux ही अपेक्षाकृत “साफ़” था, लेकिन आजकल कुछ distributions भी spyware जैसे elements चुपके से जोड़ने लगी हैं। operating systems की enshittification जारी है
    • iPhone upgrade करते समय हर बार Bluetooth on हो जाता है, जो सचमुच परेशान करता है
      लगता है Apple चाहता है कि customers कुछ features इस्तेमाल करें, इसलिए upgrade के समय उन्हें बस on कर देता है; यह काफी अप्रिय है
  • अगर leak-free VPN चाहिए, तो उसे device के अंदर नहीं बल्कि router level पर implement करना चाहिए। यह किसी भी device के लिए सही है, लेकिन Apple devices के लिए खास तौर पर
    wired segment पर traffic capture करके उसे Wireshark में देखने की मैं जोरदार सलाह देता/देती हूँ। यह router या passive Ethernet tap से किया जा सकता है, और VPN entry point के अलावा दूसरी जगहों पर जाने वाले काफी packets दिखेंगे
    Router इस्तेमाल करने से phone leaks भी check किए जा सकते हैं। Wi-Fi calling on हो तो यह भी पता चलता है कि phone हर 30 seconds में carrier control server से TCP connection बनाता है
    उदाहरण के लिए, अगर आप T-Mobile इस्तेमाल कर रहे हैं और विदेश में हैं, और उसे primary SIM के रूप में इस्तेमाल भी नहीं कर रहे, तब भी carrier को आपके इस्तेमाल किए गए सभी exit IP logs मिल जाते हैं
    Apple का VPN और network filtering extensions support करता हुआ दिखना काफी हद तक चारा जैसा है; अपने traffic के लिए वे खुशी-खुशी उसे bypass कर देते हैं
    iOS पर App Store VPN को bypass करता है, और VPN इस्तेमाल करने पर Apple update downloads तक block कर सकता है। Router पर VPN चलाते समय update download fail होने पर यह पता चला
    Mac पर खासकर first boot के समय बहुत समस्या होती है। ऐसा लगता है कि Mac तब तक VPN establish नहीं करना चाहता जब तक वह VPN के बाहर एक बार connect न कर ले
    Sleep से wake होने के बाद Cloudflare Warp इस्तेमाल करने वाली on-demand WireGuard tunnel में packets न भेज पाने की स्थिति अक्सर देखता/देखती हूँ। Ethernet निकालना, always-on बंद करना, करीब 30 seconds इंतज़ार करना, फिर उसे वापस on करना और Ethernet लगाना—तब connect होता है
    हालांकि इस प्रक्रिया में सचमुच कोई leak नहीं होता या नहीं, इस पर अभी यकीन नहीं है, इसलिए और जांच करनी होगी

  • Login करने से पहले भी tab का audio leak हो जाता है
    सभी “restore” features बंद करने के बावजूद, macOS restart के बाद login से पहले browser को “start” कर देता था, और reboot से पहले या कई दिन पहले paused पड़ा content अपने-आप play हो जाता था
    उसके बाद मैंने उस feature को काफी गहराई तक disable किया, लेकिन फिर उस पर कभी भरोसा नहीं रहा

    • लगता है Apple तुरंत response चाहने वाले users के लिए TCP/IP stack और Safari को पहले से warm up रखना चाहता है
      लंबे समय में वह इस सुविधा को “Safari बेकार है” वाली आलोचना झेलने की goodwill में बदल देगा, और आखिरकार Apple और Google internet को उस युद्ध की ओर धकेलेंगे जिसमें browser app stores बन जाते हैं
      दोनों कंपनियां जीतती हैं, एक-दूसरे पर दोष डाल सकती हैं, और anti-competitive behavior को incentive देते हुए भी ऐसा दिखा सकती हैं कि उनके-अपने organizations के हित बस संयोग से मेल खा गए
      Internet कुछ विशाल कंपनियों के कब्ज़े में आ चुका है, gamified, commodified और vertically integrated हो चुका है
      Mobile devices असल में लत लगाने वाले tracking devices हैं, और सरकारें ऐसे चमकदार tools को administrative functions में इस्तेमाल करने में इतनी रुचि रखती हैं कि वे कानून, technology और business के आपस में जुड़कर systematic abuse के points छोड़ देने के जोखिम को नहीं देख पा रहीं
    • Laptop खोलने पर आवाज़ निकलना जितना अनचाहा feature है, वैसा कुछ और तुरंत याद नहीं आता, लेकिन Apple उसे feature की तरह पेश करता है
    • Login किए बिना application open होना कैसे संभव है, समझ नहीं आता
      System को कैसे पता कि user कौन है, और कौन-सा app खोलना है। अगर login से पहले है, तो शक होता है कि असल में automatic login कर दिया गया है और बस screen पर नहीं दिखाया जा रहा
      यह काफी बड़ा security bug लगता है, और अजीब है कि इसका exploit नहीं होता
      पहले की वह घटना याद आती है जब FaceTime call आने पर, call उठाए बिना भी iPhone camera on कर देता था और caller को video भेजता था
    • अगर FileVault on है तो यह कैसे संभव है, समझ नहीं आता; असल में यह security bypass जैसा सुनाई देता है
      Reboot के बाद password enter करने तक user data encrypted होना चाहिए, इसलिए system को user के बारे में कुछ भी नहीं पता होना चाहिए—मैं तो यही सोचता/सोचती था
      तब उसे यह भी नहीं पता होना चाहिए कि reboot से पहले कौन-से apps open थे, और audio play करना तो बिल्कुल ही असंभव होना चाहिए
    • iPhone browser में भी ऐसा ही कुछ होता है
      Browser खोलने पर आखिरी open page थोड़ी देर के लिए दिख जाता है, भले ही browser बंद करने से पहले उसे सावधानी से बंद किया गया हो
      इससे कभी कोई बड़ा issue नहीं हुआ, लेकिन यह बहुत irritate करता है, और परिस्थिति के हिसाब से असली समस्या भी बन सकता है
  • लेख की तारीख आज की है, लेकिन ऐसा लगता है जैसे मैंने लगभग एक महीने पहले यही लेख पढ़ा था

    • 13 सितंबर 2023 को भी Apple ने macOS 14 Sonoma beta के दौरान macOS firewall, packet filter (PF), में एक bug डाल दिया था, और Mullvad ने सूचना दी थी कि इसकी वजह से Mullvad app काम नहीं कर रहा था और अगर local network sharing जैसी settings चालू हों तो leak हो सकता है
      https://mullvad.net/en/blog/bug-in-macos-14-sonoma-prevents-...
      लगता है 22 सितंबर 2023 को इसे ठीक कर दिया गया: https://mullvad.net/en/blog/macos-14-sonoma-firewall-bug-fix...
      लगता है Apple की product और engineering टीमें user privacy को marketing टीम जितनी अहमियत नहीं देतीं
    • Little Snitch ने भी इस समस्या की रिपोर्ट की थी: https://obdev.at/blog/should-i-upgrade-to-macos-sequoia-part...
  • सुना है NixOS अच्छा है, लेकिन browser और अक्सर इस्तेमाल होने वाले apps की वजह से मुझे अब भी लगता था कि graphical operating system चाहिए
    macOS ecosystem से बाहर निकलना चाहता हूँ, लेकिन चीजें लगातार खराब दिशा में जा रही हैं। लगता है मैंने अपनी पूरी digital life Apple-केंद्रित बना दी है

    • NixOS पर भी GUI बिना समस्या के चलता है। यह comment भी NixOS के browser से भेजा गया है
  • “apps को routing table follow करने की जरूरत नहीं है” — यह तो पागलपन है
    अगर यह सिर्फ reference के लिए कोई काल्पनिक चीज है, तो समझ नहीं आता कि routing table बनाया और users को दिखाया ही क्यों जाता है
    vendors को users के devices पर खुद को privileged बनाने का काम बंद करना चाहिए

    • socket को किसी खास interface से bind करने के वैध use cases भी होते हैं
  • macOS system update के तुरंत बाद पहली boot लंबे समय से bugs से भरी रही है
    यह ऐसे ढेरों apps खोल देता है जिन्हें update से पहले खुला छोड़ा भी नहीं था; आम तौर पर ये हाल में बंद किए गए 5–10 apps जैसे लगते हैं
    वे पूरी तरह बंद किए गए apps थे, और “resume” setting भी बंद थी। यह सिर्फ resume नहीं है, बल्कि apps को new window बनाने के लिए launch करने जैसा है, और disk mount पूरा होने से पहले ही चल जाता है
    इसलिए हर update पर अक्सर इस्तेमाल होने वाले apps अचानक सामने आकर कहते हैं कि settings और data गायब हो गए हैं
    दोबारा reboot करने पर सब ठीक हो जाता है, इसलिए यह कोई बहुत बड़ी समस्या नहीं है, लेकिन यह लापरवाह लगता है और operating system को unstable महसूस कराता है
    firewall वाली समस्या इससे असंबंधित भी हो सकती है, लेकिन देखना होगा कि क्या इस घटना के चलते Apple उस bug को भी ठीक करता है

    • लगता है जैसे “update” button दबाते ही जो भी apps खुले थे, उन सबको यह launch कर देता है। भले ही actual installation 30 मिनट बाद शुरू हुई हो, फिर भी ऐसा ही दिखता है
    • समझ नहीं आता कि “resume” setting वास्तव में करती क्या है
      Mac आखिरकार सब कुछ फिर से खोल देता है, ऐसा इतनी बार होता है कि झुंझलाहट होती है। इसे रोकने का तरीका खोजो तो हमेशा यही जवाब मिलता है: “वही setting बंद करो जिसे मैं पहले ही बंद कर चुका हूँ”