Mudanças de rede no macOS Sequoia: um guia atualizado

macOS Sequoia chega com uma pilha de rede que parece superficialmente idêntica à do Sonoma, mas tem mudanças significativas por baixo — algumas documentadas, algumas inferidas a partir de relatos de desenvolvedores terceiros sobre o que quebrou e algumas ainda se assentando conforme as point releases vão saindo. Se você administra Macs, constrói apps que usam rede ou só quer saber por que sua VPN de repente precisa de re-aprovação, vale entender as mudanças de rede do macOS Sequoia em detalhe.

Vou ser honesto sobre o que está bem documentado e o que ainda está em movimento. As notas de release da Apple para os frameworks de rede são esparsas em comparação com, digamos, as do compilador Swift, então boa parte do "o que mudou" vem de relatos de experiência de desenvolvedores.

NEHelper e a história das network extensions no Sequoia

O NEHelper é o daemon de longa data que gerencia atividade do framework NetworkExtension — VPNs, filtros de conteúdo, túneis de pacote. O Sequoia fez vários ajustes aqui.

Aprovação e estado

• Re-aprovação após upgrade. Uma fração maior de usuários teve que passar por Ajustes do Sistema → Geral → Itens de Início e Extensões para reativar a VPN ou o filtro depois de fazer upgrade para o Sequoia.
• Visibilidade de estado mais limpa. A interface de Itens de Início e Extensões consolida aprovações de filtro de rede de forma mais legível do que antes.
• Atribuição por processo. Quando um filtro de conteúdo bloqueia uma conexão, a atribuição ao app de origem é mais confiável do que era em versões anteriores.

O que isso significa para usuários

Se você fez upgrade e sua VPN "parou de funcionar", quase certamente ela não parou — a extensão só precisa de re-aprovação. Vá em Ajustes do Sistema → Geral → Itens de Início e Extensões → Network Extensions, ache a entrada do seu provedor de VPN, ligue, aprove o prompt e, na maior parte das vezes, tudo retoma.

Comportamento da API de Filtros de Conteúdo

As APIs NEFilterDataProvider e NEFilterPacketProvider são o que apps como Little Snitch, LuLu e agentes corporativos de segurança de endpoint usam. O Sequoia apertou alguns cantos aqui.

O que mudou na prática

• Filtros agora veem uma mistura ligeiramente diferente de tráfego originado pelo sistema do que viam no Sonoma
• Algumas API privadas em que autores de filtros confiavam foram restritas ainda mais
• Características de performance sob tráfego pesado melhoraram para vários provedores comuns de filtro

O que quebrou e foi consertado

Nas primeiras builds do Sequoia, vários filtros de conteúdo experienciaram falsos positivos ou problemas transitórios de conectividade. A maioria dos grandes fornecedores lançou atualizações em poucas semanas. Se você está rodando um filtro mais antigo do que isso, atualize antes de assumir que o problema é o Sequoia em si.

iPhone Mirroring e restrições de rede

Um recurso genuinamente novo do Sequoia: iPhone Mirroring, que te deixa controlar seu iPhone a partir do Mac. Tem implicações de rede.

O que faz

• Transmite a tela do seu iPhone e aceita input do seu Mac
• Faz proxy das notificações do telefone para o Mac
• Usa uma conexão estilo continuity por Wi-Fi ou tethering com fio

O que isso significa para banda

• Uma sessão de mirroring ativa é tráfego sustentado significativo — mais perto de uma chamada de vídeo do que de troca de texto
• Notificações em proxy durante o mirroring adicionam um filete pequeno mas constante em segundo plano
• Em conexões tarifadas, isso soma mais rápido do que as pessoas esperam

Restrições

• iPhone Mirroring é restrito em algumas regiões da UE por considerações regulatórias
• Exige que ambos dispositivos estejam no mesmo Apple ID e na mesma rede
• Alguns Macs gerenciados por MDM têm o recurso desabilitado por política

Se você está usando iPhone Mirroring e faz tethering do Mac via hotspot do telefone, pode acabar num loop em que o tráfego do Mac sai pelo telefone, incluindo a própria sessão de mirroring. Essa é uma configuração ineficiente para conviver.

Apple Intelligence e on-device versus servidor

Sequoia é a versão em que o Apple Intelligence começou a chegar em fases. A história de rede aqui é mista.

O que fica on-device

• A maior parte das features de contexto pessoal roda on-device em chips suportados
• A revisão de texto e sumarização do nível do SO para texto curto não costuma fazer round-trip para um servidor

O que vai para Private Cloud Compute

• Requisições maiores são roteadas para a infraestrutura Private Cloud Compute da Apple
• A conexão é criptografada e a Apple tem alegações detalhadas sobre as propriedades de privacidade
• Da perspectiva de banda, essas requisições são tráfego de rede real

Por que isso importa para monitoramento

Se você de repente vê atividade de rede atribuída a processos do sistema que não reconhece depois de habilitar features do Apple Intelligence, é provavelmente por isso. A atividade é legítima, mas é também tráfego genuíno que conta contra orçamentos de banda e vida de bateria.

Veja todo processo do sistema falando com a rede

ova lista cada app e auxiliar usando banda no seu Mac, atualizado cerca de uma vez por segundo, com todos os dados armazenados localmente. Assinado, notarizado, ~3 MB.

Baixar para macOS

Resolução de DNS e HTTPS

O Sequoia continuou a marcha gradual rumo a DNS mais privado por padrão.

O que está sólido

• DNS criptografado no nível do sistema via perfis de configuração funciona da mesma forma que no Sonoma
• O comportamento de HTTPS-por-padrão no Safari não mudou
• DNS customizado no nível da rede continua a se aplicar à maioria dos apps

O que está em movimento

• Algum comportamento de API privada em torno de hooks de DNS mudou; isso afetou um pequeno número de ferramentas de monitoramento de rede
• Assinantes do iCloud Private Relay continuam recebendo o mesmo fluxo de relay de dois saltos, com melhorias de estabilidade específicas do Sequoia

Se você depende de um resolvedor customizado, verifique se ele ainda se aplica a todos os seus apps depois do upgrade. A quebra mais comum de rede no Sequoia é um cliente VPN que empacotou um shim de DNS antigo.

O que vale ser cético

Algumas coisas que você verá escritas com confiança online e que eu trataria com cautela:

• "Sequoia reescreveu a pilha de rede." Não reescreveu. Mudanças são incrementais.
• "Apple Intelligence manda tudo para a nuvem." Não é verdade; a arquitetura é mais nuançada e a porção on-device é significativa.
• "As novas APIs quebraram todos os firewalls." Alguns filtros precisaram de atualização. A maioria não "quebrou" de forma sustentada.

A documentação da Apple para os frameworks de rede é irregular. Trate alegações detalhadas sobre comportamento interno como palpites informados, a menos que citem uma sessão da WWDC ou uma nota de release voltada a desenvolvedores.

Coisas práticas para verificar depois do upgrade

Se você acabou de migrar para o Sequoia ou está planejando:

1. Re-aprove qualquer network extension. Ajustes do Sistema → Geral → Itens de Início e Extensões → Network Extensions. Ligue cada uma, aprove quando solicitado.
2. Atualize sua VPN, firewall e ferramentas de segurança. Versões antigas são a causa da maioria dos relatos de "Sequoia quebrou X."
3. Cheque permissões de Rede Local. Ajustes do Sistema → Privacidade e Segurança → Rede Local. Revogue qualquer coisa que você não usa ativamente.
4. Decida sobre Apple Intelligence. Se não quiser, pode deixar desligado. Se ligar, espere nova atividade de rede em segundo plano.
5. Instale um monitor de banda por app. ova ou equivalente — veja o que sua máquina está fazendo em vez de adivinhar.

O último ponto importa mais no Sequoia do que em releases anteriores simplesmente porque há mais tráfego legítimo em segundo plano agora (Apple Intelligence, sync de iPhone Mirroring, features de continuity) e você precisa conseguir distinguir o legítimo do suspeito rapidamente.

Uma nota sobre Macs corporativos e gerenciados

Se seu Mac está cadastrado num MDM, várias features do Sequoia podem estar desabilitadas por política:

• Apple Intelligence (frequentemente desabilitado em dispositivos gerenciados por enquanto)
• iPhone Mirroring (similarmente, costuma ser desabilitado)
• DNS customizado (pode estar travado no resolvedor da empresa)
• Network extensions (podem ser limitadas à lista aprovada da empresa)

Não brigue com seu departamento de TI nessas. As features que eles desabilitam costumam ser desabilitadas por motivo, e reativar num Mac gerenciado pode violar política que você concordou.

Encerrando

As mudanças de rede do macOS Sequoia são uma sacola mista — em sua maioria melhorias invisíveis, alguns recursos novos que geram tráfego real e o aperto contínuo do framework NetworkExtension que quebra ferramentas antigas e premia manter as coisas atualizadas. A postura certa é:

• Faça o upgrade de olhos abertos: re-aprove extensões, atualize ferramentas
• Monitore o que sua máquina está realmente enviando, especialmente nas primeiras semanas pós-upgrade quando você está ajustando features
• Seja cético com alegações confiantes sobre comportamento interno; a documentação não é densa o bastante para sustentar a maioria delas

Uma boa visão de banda por app é a única ferramenta mais útil para entender o que mudou na sua máquina específica. O macOS te dá toggles; um monitor te dá realidade. O ova é uma opção construída especificamente para isso — minimalista, assinado e notarizado, roda em macOS 14 e posteriores (então Sonoma e Sequoia, ambos), cerca de 3 MB em disco, todos os dados armazenados localmente sem telemetria. Observe sua rede por uma semana e as mudanças do Sequoia vão se explicar.