Privacy di rete in macOS Sonoma: cosa è cambiato

macOS Sonoma è uscito con una manciata di cambiamenti sulla privacy di rete che sono passati per lo più sotto il radar — in parte perché Apple parla di privacy a grandi linee e in parte perché i cambiamenti più rilevanti per gli utenti esperti sono sepolti nel comportamento delle network extension, nell'indirizzamento randomizzato e nel modo in cui l'OS tratta VPN e content filter. Se hai fatto l'upgrade da Ventura e hai notato la VPN comportarsi in modo strano, il portale captive diventato bizzarro, o app che non ricordi di aver installato spuntare nei log di rete, probabilmente è per questo.

Questo articolo è un elenco operativo dei cambiamenti di privacy di rete su macOS Sonoma che hanno davvero contato, cosa è sopravvissuto a Sequoia e cosa puoi fare in ogni caso. Dove la documentazione è scarna o il comportamento è torbido, lo dirò invece di tirare a indovinare.

Miglioramenti dell'Indirizzo Wi-Fi Privato

Apple ha introdotto gli indirizzi MAC randomizzati (Indirizzo Wi-Fi Privato) in versioni precedenti di macOS, ma Sonoma ha stretto l'implementazione in modi che contano.

Cosa è cambiato

• Comportamento di rotazione per rete. Sonoma è più coerente nel dare a ogni rete il proprio indirizzo randomizzato e nel mantenere quell'indirizzo stabile tra le riconnessioni alla stessa rete.
• Gestione delle reservation hardware. Le reti che usano riservazioni DHCP basate su MAC o tetti di banda hanno iniziato a comportarsi in modo più prevedibile perché l'indirizzo persiste per rete invece di ruotare a metà sessione.

Cosa rompe

Alcuni portali captive — quelli che trovi in hotel, centri congressi e catene di caffè — usano ancora gli indirizzi MAC per tracciare sessioni e quote di banda. Con l'indirizzamento randomizzato attivo, potresti dover riautenticare più spesso del previsto. Su reti dove il portale captive ha bug, potresti non riuscire ad autenticarti senza disabilitare l'Indirizzo Wi-Fi Privato per quella specifica rete.

Come sistemarla senza perdere privacy altrove

Impostazioni di Sistema → Wi-Fi → clic sulla rete in questione → Dettagli → Indirizzo Wi-Fi Privato. Puoi disattivarlo per rete, lasciando la randomizzazione attiva su ogni altra rete che usi. Non disabilitarlo globalmente — disabilitalo solo sull'unico portale captive che ha problemi.

Modifiche all'API dei filtri di rete

Sonoma ha fatto aggiustamenti al framework NetworkExtension, che è quello che usano app come Little Snitch, LuLu e gli strumenti di endpoint security aziendali per ispezionare o filtrare il traffico.

Cosa è cambiato

• Gestione più rigida di come i content filter interagiscono col traffico di sistema
• Una parte dell'API privata è stata rimossa o ristretta
• I provider di filtri hanno dovuto aggiornarsi al nuovo comportamento; alcuni sono rimasti indietro

Cosa potresti aver notato

• Un filtro di rete preferito ti ha chiesto di aggiornare o ha smesso di funzionare del tutto dopo l'upgrade
• La risoluzione DNS si è comportata in modo strano finché il filtro non è stato aggiornato
• Le performance sono regredite temporaneamente su macchine con più network extension installate

Se stai usando una versione attuale di un qualsiasi strumento di filtro principale, è per lo più alle tue spalle. Se stai tenendo stretta una versione vecchia perché "funziona ancora", potrebbe essere la causa di problemi di rete intermittenti su Sonoma.

Comportamento delle system extension

Le system extension — il rimpiazzo moderno delle kernel extension — hanno avuto un flusso di approvazione più stretto su Sonoma, soprattutto per quelle che gestiscono traffico di rete.

Cosa è cambiato

• Prompt di approvazione utente più espliciti quando un'estensione vuole filtrare il traffico di rete
• Gli upgrade di estensione a volte richiedono riapprovazione invece di andare avanti silenziosamente
• Il flusso "Consenti nei prossimi 30 minuti" è più in evidenza

Implicazioni pratiche

Se hai aggiornato un client VPN o un firewall su Sonoma e improvvisamente non funzionava niente finché non sei passato da Impostazioni di Sistema → Generali → Elementi al Login ed Estensioni, è per questo. Fastidioso una volta, prezioso per sempre — adesso sai esattamente cosa sta intercettando il tuo traffico.

Privacy del DNS e del resolver

Sonoma ha continuato la tendenza a rafforzare la privacy DNS, con qualche implicazione pratica.

Cosa c'era già

• iCloud Private Relay (con abbonamento) instrada gran parte del traffico Safari attraverso due relay così nessuno vede sia il tuo IP che la tua destinazione
• DNS cifrato (DoH/DoT) configurabile via profili di sistema

Cosa vale la pena sapere

• Se usi un resolver DNS personalizzato (1.1.1.1, NextDNS, il tuo Pi-hole), Sonoma lo rispetta in modo più affidabile attraverso i cambi di rete
• Le app che usano il resolver di sistema ereditano la tua scelta DNS automaticamente
• Le app che includono il proprio client DNS (alcuni browser, alcune app di chat) bypassano le tue impostazioni, e non c'è modo di forzarle altrimenti senza un filtro di rete

Quest'ultimo punto è il motivo per cui una vista della banda per app conta anche quando hai il DNS ben configurato: l'unico modo per sapere se un'app sta facendo le connessioni che ti aspetti è guardare cosa sta davvero inviando.

Vedi cosa stanno davvero facendo le tue app sulla rete

ova mostra la banda per app con i processi ausiliari raggruppati sotto il loro genitore. Solo locale, no telemetria, no account, ~3 MB.

Scarica per macOS

Prompt di accesso alla Rete Locale

Questo è il cambio che la maggior parte degli utenti ha notato davvero. Sonoma è diventato più aggressivo nel chiedere l'accesso alla "Rete Locale" quando un'app tenta di scoprire altri dispositivi sul tuo Wi-Fi.

Cosa è coperto

• Discovery mDNS / Bonjour
• SSDP (usato da ricevitori di streaming, alcune apparecchiature smart home)
• Connessioni dirette a range IP locali

Cosa vedrai

Un prompt tipo "L'app X vorrebbe trovare e connettersi a dispositivi sulla tua rete locale." Concederlo va bene per app che ne hanno legittimamente bisogno (Spotify che scopre ricevitori AirPlay, IDE che scoprono device di test). Negarlo va bene per le app che non ne hanno bisogno.

Puoi rivedere e revocare dopo: Impostazioni di Sistema → Privacy e Sicurezza → Rete Locale.

Cosa è sopravvissuto a Sequoia

Gran parte dei cambi di Sonoma sono passati su macOS Sequoia con piccoli affinamenti:

• Rotazione per rete dell'Indirizzo Wi-Fi Privato: c'è ancora, raccomandata attiva di default
• Superficie API NetworkExtension più stretta: c'è ancora, con ulteriori affinamenti
• Flusso di approvazione delle system extension: c'è ancora, con gli stessi pattern UI
• Prompt di accesso Rete Locale: ci sono ancora, con la stessa revoca per app in Impostazioni di Sistema

Se hai saltato Sonoma e sei passato direttamente da Ventura a Sequoia, incontrerai tutti questi per la prima volta in una volta. Le soluzioni e le abitudini descritte sopra valgono tutte.

Cosa è onestamente torbido

Alcune cose su cui non rivendicherò di sapere in modo definitivo:

• L'algoritmo esatto per la generazione dell'Indirizzo Wi-Fi Privato. Apple non ha documentato del tutto la policy di rotazione e i cambi tra release minori.
• Comportamento di rete delle app in background in condizioni di basso consumo. macOS depriorizza il traffico in background in varie condizioni, ma le soglie esatte non sono pubbliche.
• L'elenco completo dei cambi all'API NetworkExtension. Le release notes di Apple sono parziali. I cambi reali si scoprono quando gli strumenti di terze parti si rompono e gli sviluppatori postano.

Se leggi un articolo blog sicuro che rivendica dettagli esatti su uno qualsiasi di questi, trattalo come speculazione informata a meno che non citi documentazione Apple.

Passi pratici di privacy di rete macOS Sonoma da fare oggi

Per gli utenti su Sonoma (o Sequoia, dato che gran parte è passata):

1. Audita le tue network extension installate. Impostazioni di Sistema → Generali → Elementi al Login ed Estensioni → Network Extensions. Sappi cosa c'è. Rimuovi qualsiasi cosa non riconosci.
2. Rivedi i permessi di Rete Locale. Impostazioni di Sistema → Privacy e Sicurezza → Rete Locale. Revoca per le app che non ne hanno bisogno.
3. Controlla l'Indirizzo Wi-Fi Privato per rete. Dovrebbe essere attivo per casa, attivo per gran parte delle reti, e disattivato solo su specifici portali captive dove rompe l'autenticazione.
4. Esegui un monitor della larghezza di banda per app. È così che noterai quando un'app inizia a fare connessioni che non faceva prima.

Il quarto punto è quello che la maggior parte salta. I controlli di privacy sono più utili quando abbinati alla visibilità. macOS ti dà tanti interruttori; non ti dà una buona vista di cosa stanno davvero inviando le tue app. Quel buco lo riempie ova — un monitor passivo della larghezza di banda residente nella barra dei menu che mostra velocità live e cronologia per app, con ausiliari raggruppati sotto la loro app principale, campionato a circa 1 Hz, senza dipendenze cloud.

In conclusione

La storia della privacy di rete macOS Sonoma è per lo più incrementale, per lo più buona e per lo più invisibile finché qualcosa non si rompe. Le rotture che capitano tendono a venire da:

• Vecchie versioni di VPN/firewall che non si sono aggiornate per le nuove API
• Portali captive che non gestiscono bene gli indirizzi MAC randomizzati
• App che accedevano silenziosamente alla rete locale e adesso devono chiedere

La soluzione in ogni caso è un audit delle impostazioni di cinque minuti, non una reinstallazione. Se hai aggiornato di recente e ti è sembrato che la rete "non andasse del tutto bene", probabilmente sei inciampato in uno di questi. Passa per la lista pratica sopra, installa ova o un qualsiasi monitor passivo equivalente così puoi vedere cosa fa la tua macchina, e l'esperienza di rete di solito torna al suo posto. macOS 14 e successivi sono ben supportati da qualunque cosa moderna, incluso ova a circa 3 MB su disco, gira su Apple Silicon e Intel, tutti i dati restano locali.