Como David Houde mencionou, lsof -i é seu amigo lhe dá um instantâneo das conexões / operações de soquete atuais. Infelizmente, no OS X, netstat não suporta esse recurso.
Outras opções incluem:
Activity Monitor.app permite que você veja os arquivos e as portas abertas por um aplicativo. Isso pode ser feito clicando duas vezes em um processo e abrindo a guia "Abrir arquivos e portas".
Dtrace - confira o script soconnect que fornece informações contínuas sobre as operações da rede até que você saia (controle + c). Exemplo de saída:
sudo /tmp/soconnect.d
PID PROCESS FAM ADDRESS PORT LAT(us) RESULT
8211 X-Lite 2 192.168.1.109 5060 25 Success
4112 Google Chrome 2 173.194.34.134 443 53 In progress
8211 X-Lite 2 192.168.1.109 5060 30 Success
Uma aplicação que gosto bastante é o pequeno pomo, mas é um software comercial. Embora este seja um software de firewall de desktop, ele possui vários recursos que podem ser interessantes para você:
- monitor de rede, que informa quais aplicativos estão se conectando ao local (de maneira semelhante à saída do soconnect.d)
- captura o tráfego de rede por aplicativo (ou seja, semelhante ao wireshark, você pode assistir ao tráfego de rede, mas limitá-lo apenas a um aplicativo específico)
Para responder à sua segunda pergunta - sim, em sistemas operacionais tradicionais (por exemplo, OS X, Windows), os aplicativos têm a capacidade de se conectar a sistemas de terceiros de várias maneiras e enviar qualquer coisa. Vários firewalls de desktop tentam resolver esse problema, permitindo que você especifique onde cada aplicativo pode se conectar, tendo, assim, uma espécie de lista de permissões. Como qualquer outra coisa em segurança, essa abordagem não é isenta de armadilhas.
ps. Não tenho associação com nenhum fornecedor de software de firewall de desktop:)