Protezione dai malware in macOS
Apple implementa un processo basato sulla raccolta di informazioni riguardanti le minacce di sicurezza per identificare e bloccare rapidamente qualsiasi malware.
Tre livelli di difesa
Il meccanismo di difesa contro il malware è strutturato su tre livelli.
1. Impedire l’avvio e l’esecuzione di malware: App Store o Gatekeeper combinati con l’autorizzazione.
2. Bloccare l’esecuzione del malware sui sistemi dei clienti: Gatekeeper, autorizzazione e XProtect.
3. Intervenire in caso di esecuzione di malware: XProtect
Il primo livello di difesa è progettato per inibire la distribuzione del malware e impedirne l’avvio anche una sola volta. Questo è l’obiettivo di App Store e Gatekeeper, insieme al processo di autorizzazione.
Il livello di difesa successivo aiuta a garantire che, nel caso in cui un malware compaia su un Mac, questo venga rapidamente identificato e bloccato, sia per fermarne la diffusione sia per proteggere i sistemi Mac in cui ha già trovato un appiglio. XProtect va ad aggiungersi al meccanismo di difesa, insieme a Gatekeeper e al processo di autorizzazione.
Infine, XProtect agisce per eliminare il malware che è riuscito a essere eseguito.
Queste protezioni, descritte in maggiore dettaglio di seguito, si uniscono per supportare le linee guida sulla protezione da virus e malware. Nei Mac dotati di chip Apple sono presenti anche meccanismi di protezione aggiuntivi, mirati a limitare i potenziali danni causati dal malware che riesce ad essere eseguito. Consulta Protezione dell’accesso delle app ai dati utente per informazioni sul modo in cui macOS protegge i dati degli utenti dal malware e Integrità del sistema operativo per informazioni sul modo in cui macOS può limitare le azioni che un malware può compiere sul sistema.
Autorizzazione
L’autorizzazione è un servizio di scansione antimalware fornito da Apple. Gli sviluppatori che vogliono distribuire app per macOS al di fuori di App Store inviano le proprie app perché vengano scansionate come parte del processo di distribuzione. Apple scansiona tale software per verificare la presenza di malware noto e se non ne trova emette un ticket di autorizzazione. Solitamente gli sviluppatori allegano questo ticket alle proprie app, in modo che Gatekeeper possa verificarle e avviarle, anche quando il sistema non è in linea.
Apple può anche emettere un ticket di revoca per le app notoriamente dannose, anche se sono state precedentemente autorizzate. macOS verifica regolarmente la presenza di nuovi ticket di revoca, in modo che Gatekeeper abbia a disposizione le informazioni più recenti e possa bloccare l’avvio di tali file. Questo processo può bloccare le app dannose molto rapidamente, perché gli aggiornamenti avvengono in background persino molto più frequentemente degli aggiornamenti in background relativi alle nuove firme di XProtect. Inoltre questa protezione può essere applicata sia alle app precedentemente autorizzate sia a quelle che non lo sono state.
XProtect
macOS include una tecnologia antivirus integrata chiamata XProtect, pensata per il rilevamento e la rimozione del malware basata sulle firme. Il sistema utilizza le firme YARA, uno strumento adottato per condurre rilevazioni di malware basate sulle firme che Apple aggiorna regolarmente. Apple verifica la presenza di infezioni malware e alterazioni, e aggiorna automaticamente le firme, a prescindere dagli aggiornamenti di sistema, per contribuire alla difesa dei Mac dalle infezioni malware. XProtect rileva e blocca automaticamente l’esecuzione di malware noto. In macOS 10.15 o versioni successive, XProtect verifica la presenza di contenuti nocivi conosciuti ogni volta che:
Un’app viene avviata per la prima volta.
Un’app è stata modificata (nel file system).
Le firme di XProtect vengono aggiornate.
Quando XProtect rileva malware noto, il software viene bloccato; l’utente riceve una notifica di tale blocco e gli viene chiesto se vuole spostare il software nel Cestino.
Nota: l’autorizzazione è efficace contro file (o hash di file) noti e può essere utilizzata su app che sono state avviate precedentemente. Le regole basate sulle firme di XProtect sono più generiche rispetto all’hash di un file specifico, in modo da consentirgli di rilevare varianti che Apple non conosce. XProtect scansiona soltanto le app che hanno subito delle modifiche o che vengono aperte per la prima volta.
Qualora il malware dovesse riuscire a insinuarsi in un Mac, XProtect include anche una tecnologia per rimediare alle infezioni. Ad esempio, include un meccanismo in grado di rimediare alle infezioni basato sugli aggiornamenti forniti automaticamente da Apple (come parte degli aggiornamenti automatici dei file di dati di sistema e degli aggiornamenti di sicurezza). Questo sistema rimuove il malware non appena riceve informazioni aggiornate e continua a controllare periodicamente la presenza di infezioni. Tuttavia, XProtect non riavvia il Mac automaticamente. Inoltre, XProtect include un engine avanzato per il rilevamento di malware sconosciuto sulla base dell’analisi del comportamento. Le informazioni sul malware rilevate da questo engine, tra cui il software con cui è stato scaricato, vengono utilizzate per migliorare le firme di XProtect e la sicurezza di macOS.
Aggiornamenti automatici di sicurezza per XProtect
Apple rilascia automaticamente degli aggiornamenti per XProtect sulla base delle informazioni più recenti disponibili riguardo alle minacce. Di default, macOS verifica quotidianamente la disponibilità di tali aggiornamenti. Gli aggiornamenti per il processo di autorizzazione, che vengono distribuiti tramite la sincronizzazione CloudKit, sono molto più frequenti.
La risposta di Apple quando un nuovo malware viene scoperto
Quando un malware viene scoperto, possono essere eseguiti vari passaggi:
Qualsiasi certificato con ID sviluppatore associato viene revocato.
Vengono emessi ticket di revoca dell’autorizzazione per tutti i file (app e file associati).
Vengono sviluppate ed emesse firme per XProtect.
Tali firme vengono anche applicate in modo retroattivo a software precedentemente autorizzati ed eventuali nuove rilevazioni di codice dannoso possono attivare una o più azioni tra quelle descritte sopra.
Infine, l’individuazione di un malware fa partire una serie di passaggi nei secondi, ore e giorni successivi che consentono di propagare le migliori protezioni possibili verso tutti gli utenti Mac.