محقق امنیتی به نام پاتریک واردل در کنفرانس امنیتی بلکهت سال ۲۰۱۸ نشان داد چگونه میتوان محصولات دیوارهی آتش macOS را درهم شکست و دور زد. این محقق اشاره کرد در دیوارهی آتش که توسط این شرکت طراحی شده است یک محدودیت بسیار جدی وجود دارد. در این محصولات ارتباطات ورودی مورد پردازش قرار گرفته و بررسی میشوند ولی بر روی ارتباطات خروجی هیچ محدودیتی وجود نداشته و بررسی انجام نمیشود.
به عبارت دیگر اگر روی سیستم شما بدافزاری وجود داشته باشد و حتی اگر دیوارهی آتش فعال باشد، در صورتی که این بدافزار بخواهد در قالب ارتباط بیرونی ارسال شود، محدودیتی در ارسال آن وجود نخواهد داشت. این محقق اعلام کرد در بسیاری از محصولات دیوارهی آتش macOS بررسی تنها براساس نام پردازهها که در یک فهرست سفید وجود دارد انجام میشود. در این شرایط اگر بدافزار نام خود را برابر با یکی از نام این پردازهها انتخاب کند، دیوارهی آتش را دور خواهد زد.
در روش دیگری که مهاجم میتواند دیوارهی آتش این شرکت را دور بزند استفاده از روشpiggybacking است. مهاجم میتواند بهصورت غیرفعال کنترل کند که چه ترافیکی از دیوارهی آتش، اجازهی عبور دریافت کرده است. در ادامه میتواند از آن پروتکل و آن پردازهای که مورد اعتماد دیوارهی آتش است، برای ارسال ترافیک مخرب خود استفاده کرده و دیوارهی آتش را دور بزند.
این محقق امنیتی اشاره کرد محصولات دیوراهی آتش macOS چندین گام عقبتر از همتایان ویندوزی خود هستند. دیوارهی آتش ویندوز بالغ تر است به دلیل اینکه آنها در بازهی طولانی و در گسترهی وسیعی از کاربران مورد هدف مهاجمان سایبری قرار گرفتهاند. او اعلام کرد در حال حاضر بدافزاری را نمیشناسد که توانسته باشد دیوارهی آتش macOS را دور بزند ولی مهاجمان باتجربه میتوانند از این پتانسیل و ضعف بهرهبرداری کنند. این محقق اوایل سال جاری دیوارهی آتش متنباز LuLu را بر روی گیتهاب منتشر کرده است.
