Como David Houde mencionou, lsof -i é seu amigo lhe dá um instantâneo das conexões / operações de soquete atuais. Infelizmente, no OS X, netstat não suporta este recurso.
Outras opções incluem:
Activity Monitor.app permite que você veja os arquivos e as portas abertas por um aplicativo. Isso pode ser feito clicando duas vezes em um processo e abrindo a guia "Abrir arquivos e portas".
Dtrace - confira soconnect script que lhe fornece informações contínuas sobre operações de rede até que você saia (control + c). Exemplo de saída:
sudo /tmp/soconnect.d
PID PROCESS FAM ADDRESS PORT LAT(us) RESULT
8211 X-Lite 2 192.168.1.109 5060 25 Success
4112 Google Chrome 2 173.194.34.134 443 53 In progress
8211 X-Lite 2 192.168.1.109 5060 30 Success
Uma aplicação que gosto bastante é o pequeno pomo, mas é um software comercial. Embora este seja um software de firewall de desktop, ele possui vários recursos que podem ser interessantes para você:
- monitor de rede, que informa quais aplicativos estão se conectando ao local (de forma semelhante à saída do soconnect.d)
- capturar o tráfego de rede por aplicativo (ou seja, semelhante ao wireshark, você pode assistir ao tráfego de rede, mas limitá-lo a apenas um aplicativo específico)
Para responder à sua segunda pergunta - sim, em sistemas operacionais tradicionais (por exemplo, OS X, Windows), os aplicativos têm a capacidade de se conectar a sistemas de terceiros de várias maneiras e enviar qualquer coisa. Um número de firewalls de desktop tenta resolver esse problema, permitindo que você especifique onde cada aplicativo pode se conectar, tendo, assim, uma espécie de lista branca. Como qualquer outra coisa em segurança, essa abordagem não é isenta de armadilhas.
ps. Não tenho associação com nenhum fornecedor de software de firewall de desktop :)