ova
Voltar ao blog
·9 min de leitura·productdevbook

Privacidade de rede no macOS Sonoma: o que mudou

Um resumo prático das mudanças de privacidade de rede do macOS Sonoma — e o que elas significam para ferramentas que observam tráfego ou bloqueiam rastreadores.

  • macOS Sonoma
  • macOS
  • Privacy
  • Network monitoring

macOS Sonoma chegou com um punhado de mudanças de privacidade de rede que passaram quase despercebidas — em parte porque a Apple fala de privacidade em pinceladas largas e em parte porque as mudanças mais relevantes para usuários avançados ficam enterradas em comportamento de network extensions, endereçamento randomizado e como o SO trata VPNs e filtros de conteúdo. Se você fez upgrade do Ventura e percebeu sua VPN se comportando estranho, o portal cativo agindo de forma esquisita, ou apps que você não lembra de ter instalado aparecendo em logs de rede, é provavelmente por isso.

Este post é uma lista prática das mudanças de privacidade de rede do macOS Sonoma que de fato importaram, o que sobreviveu até o Sequoia e o que você pode fazer sobre cada uma. Onde a documentação é magra ou o comportamento é nebuloso, vou dizer em vez de adivinhar.

Melhorias de Endereço Wi-Fi Privado

A Apple introduziu endereços MAC randomizados (Endereço Wi-Fi Privado) em versões anteriores do macOS, mas o Sonoma apertou a implementação de formas que importam.

O que mudou

  • Comportamento de rotação por rede. O Sonoma é mais consistente em dar a cada rede seu próprio endereço randomizado e mantê-lo estável entre reconexões na mesma rede.
  • Tratamento de reservas de hardware. Redes que usam reservas DHCP baseadas em MAC ou tetos de banda começaram a se comportar de forma mais previsível porque o endereço persiste por rede em vez de rodar no meio da sessão.

O que isso quebra

Alguns portais cativos — do tipo que você acha em hotéis, centros de convenção e cafés em rede — ainda usam endereços MAC para rastrear sessões e cotas de banda. Com endereço randomizado ligado, você pode precisar reautenticar com mais frequência do que esperaria. Em redes com portal cativo bugado, pode ser que você nem consiga autenticar sem desligar o Endereço Wi-Fi Privado para aquela rede específica.

Como consertar sem perder privacidade em outros lugares

Ajustes do Sistema → Wi-Fi → clique na rede em questão → Detalhes → Endereço Wi-Fi Privado. Você pode desligar por rede, deixando a randomização ligada para todas as outras redes que usa. Não desabilite globalmente — desabilite só no portal cativo quebrado.

Ajustes na API de filtros de rede

O Sonoma fez ajustes no framework NetworkExtension, que é o que apps como Little Snitch, LuLu e ferramentas corporativas de segurança de endpoint usam para inspecionar ou filtrar tráfego.

O que mudou

  • Tratamento mais estrito de como filtros de conteúdo interagem com tráfego do sistema
  • Algumas API privadas foram removidas ou restringidas
  • Provedores de filtro tiveram que se atualizar para o novo comportamento; alguns demoraram

O que você pode ter notado

  • Um filtro de rede favorito te avisou para atualizar ou parou de funcionar de vez depois do upgrade
  • Resolução de DNS se comportou estranho até o filtro ser atualizado
  • Performance regrediu temporariamente em máquinas com várias network extensions instaladas

Se você está rodando uma versão atual de qualquer ferramenta grande de filtro, isso ficou em sua maior parte para trás. Se está se segurando numa versão antiga porque "ainda funciona", pode ser a causa de problemas intermitentes de rede no Sonoma.

Comportamento de extensões de sistema

Extensões de sistema — a substituta moderna para extensões de kernel — ganharam fluxo de aprovação mais apertado no Sonoma, especialmente para as que lidam com tráfego de rede.

O que mudou

  • Prompts de aprovação de usuário mais explícitos quando uma extensão quer filtrar tráfego de rede
  • Atualizações de extensão às vezes exigem re-aprovação em vez de avançar silenciosamente
  • O fluxo "Permitir nos próximos 30 minutos" ficou mais proeminente

Implicações práticas

Se você atualizou um cliente VPN ou firewall no Sonoma e de repente nada funcionou até passar por Ajustes do Sistema → Geral → Itens de Início e Extensões, é por isso. Chato uma vez, valioso para sempre — agora você sabe exatamente o que está interceptando seu tráfego.

Um monitor, não um filtro
ova é um monitor passivo de banda — ele lê contabilidade de tráfego, não registra filtro de rede nem extensão de sistema. Sem prompts de aprovação, sem hooks de kernel, sem chance de quebrar sua VPN. Cerca de 3 MB em disco, assinado e notarizado.

DNS e privacidade do resolvedor

O Sonoma continuou a tendência de fortalecer privacidade de DNS, com algumas implicações práticas.

O que já existia

  • iCloud Private Relay (quando assinado) roteia a maior parte do tráfego do Safari por dois relays para que nenhum veja seu IP e o destino
  • DNS criptografado (DoH/DoT) configurável via perfis de sistema

O que vale saber

  • Se você usa um resolvedor de DNS customizado (1.1.1.1, NextDNS, seu próprio Pi-hole), o Sonoma respeita de forma mais confiável entre mudanças de rede
  • Apps que usam o resolvedor do sistema herdam sua escolha de DNS automaticamente
  • Apps que empacotam o próprio cliente de DNS (alguns navegadores, alguns apps de chat) ignoram suas configurações, e não há como forçar o contrário sem um filtro de rede

Esse último ponto é por que uma visão de banda por app importa mesmo quando você tem DNS bem configurado: a única forma de saber se um app está fazendo as conexões que você esperaria é observar o que ele de fato envia.

Veja o que seus apps estão de fato fazendo na rede

ova mostra banda por app com processos auxiliares agrupados sob o pai. Só local, sem telemetria, sem conta, ~3 MB.

Baixar para macOS

Prompts de acesso à Rede Local

Essa é a mudança que a maioria dos usuários de fato notou. O Sonoma ficou mais agressivo em pedir acesso à "Rede Local" quando um app tenta descobrir outros dispositivos no seu Wi-Fi.

O que está coberto

  • Descoberta mDNS / Bonjour
  • SSDP (usado por receivers de streaming, alguns equipamentos de smart home)
  • Conexões diretas a faixas de IP locais

O que você verá

Um prompt como "O App X gostaria de encontrar e se conectar a dispositivos na sua rede local." Conceder é tranquilo para apps que legitimamente precisam (Spotify descobrindo receivers AirPlay, IDEs descobrindo dispositivos de teste). Negar é tranquilo para apps que não precisam.

Você pode revisar e revogar depois: Ajustes do Sistema → Privacidade e Segurança → Rede Local.

O que sobreviveu até o Sequoia

A maioria das mudanças do Sonoma seguiu para o macOS Sequoia com refinamentos pequenos:

  • Rotação por rede do Endereço Wi-Fi Privado: ainda lá, ainda recomendada por padrão
  • Superfície apertada da API NetworkExtension: ainda lá, com mais refinamentos
  • Fluxo de aprovação de extensão de sistema: ainda lá, com os mesmos padrões de UI
  • Prompts de acesso à Rede Local: ainda lá, com a mesma revogação por app nos Ajustes do Sistema

Se você pulou o Sonoma e foi direto do Ventura para o Sequoia, vai encontrar tudo isso pela primeira vez de uma vez. As correções e hábitos descritos acima se aplicam.

O que é honestamente nebuloso

Algumas coisas que não vou afirmar saber com certeza:

  • O algoritmo exato de geração do Endereço Wi-Fi Privado. A Apple não documentou completamente a política de rotação e mudanças entre point releases.
  • Comportamento de rede de apps em segundo plano sob baixa potência. O macOS despriorize tráfego em segundo plano em várias condições, mas os limiares exatos não são públicos.
  • A lista completa de mudanças na API NetworkExtension. As notas de release da Apple são parciais. Mudanças reais aparecem quando ferramentas de terceiros quebram e desenvolvedores postam sobre.

Se você ler um post de blog confiante alegando detalhes exatos sobre qualquer disso, trate como especulação informada a menos que cite documentação da Apple.

Passos práticos de privacidade de rede no Sonoma para hoje

Para usuários no Sonoma (ou Sequoia, já que a maior parte continuou):

  1. Audite suas network extensions instaladas. Ajustes do Sistema → Geral → Itens de Início e Extensões → Network Extensions. Saiba o que tem. Remova qualquer coisa que não reconhece.
  2. Revise concessões de Rede Local. Ajustes do Sistema → Privacidade e Segurança → Rede Local. Revogue para apps que não precisam.
  3. Cheque Endereço Wi-Fi Privado por rede. Deve estar ligado em casa, ligado na maioria das redes e desligado só em portais cativos específicos onde quebra autenticação.
  4. Rode um monitor de banda por app. É assim que você vai notar quando um app começa a fazer conexões que não fazia antes.

O quarto ponto é o que mais gente pula. Controles de privacidade são mais úteis quando combinados com visibilidade. O macOS te dá um monte de toggles; ele não te dá uma boa visão do que seus apps estão de fato enviando. Esse é o vão que o ova preenche — um monitor de banda passivo, residente na barra de menu, que mostra taxas ao vivo e histórico por app, com auxiliares agrupados sob o app pai, amostrado a cerca de 1 Hz, sem dependência de nuvem.

Encerrando

A história de privacidade de rede do macOS Sonoma é majoritariamente incremental, majoritariamente boa e majoritariamente invisível até algo quebrar. As quebras que acontecem tendem a vir de:

  • Versões antigas de VPN/firewall que não atualizaram para as novas APIs
  • Portais cativos que não lidam bem com endereços MAC randomizados
  • Apps que costumavam acessar silenciosamente a rede local e agora têm que pedir

A correção em cada caso é uma auditoria de cinco minutos nas configurações, não uma reformatação. Se você fez upgrade recentemente e sentiu que a rede "não estava bem", provavelmente tropeçou numa dessas. Passe pela lista prática acima, instale o ova ou qualquer monitor passivo equivalente para você poder ver o que sua máquina está fazendo, e a experiência de rede em geral volta ao lugar. macOS 14 e posteriores são bem suportados por qualquer coisa moderna, incluindo o ova com cerca de 3 MB em disco, roda em Apple Silicon e Intel, todos os dados ficam locais.