适用于Mac的第三方防火墙Little Snitch存在缺陷 会让macOS系统绕过DNS加密

macOS 系统目前主要版本都已经提供 DNS 加密功能，该功能旨在将 DNS 查询以加密形式发送，避免网络运营商窥探用户访问的网站域名。

开发者在调查 macOS 15 上的 DNS 相关问题时，发现某些 DNS 请求未被接收，即系统似乎存在某个错误，导致某些请求绕过已经安装的 DNS 代理，然后以明文形式发送到系统默认的 DNS 服务器。

经过检查开发者发现 macOS 似乎存在一个错误，导致某些 DNS 请求会自动绕过已经安装的 DNS 代理，这种情况下所有请求都是未经过加密的。

开发者使用的时流行的第三方防火墙软件 Little Snitch 6，不过测试发现这应该是个普遍问题，即安装某些防火墙或者第三方 DNS 代理，则可能某些请求会绕过代理。

有趣的是通过更高级别的 API 执行的 DNS 查询不受问题影响，例如 Safari 和 Chrome 中浏览网页仍然通过加密 DNS 发送查询，而 Firefox 浏览器则受影响。

进行追溯后开发者发现该问题可能在 macOS 14.5 版中就已经存在了，目前问题已经被报告给苹果，苹果尚未确认这是否属于 macOS 的安全漏洞。

这里我们还是以 Little Snitch 6 为例，该软件提供了新的 DNS 加密查询功能，但实际上它是将用户的 DNS 请求转发到某个代理上，然后再通过该代理加密 DNS 查询请求。

也就是说用户对于这个代理是透明的，这个代理依然可以看到用户发送的明文 DNS 查询，这种情况下是不利于保护用户隐私的。

所以这个问题既有第三方软件的问题也有苹果的问题，具体如何解决还需要等待苹果安全团队进行审查，看看这应该系统层面进行处理还是由第三方软件处理。