Beskyttelse mot skadelig programvare i macOS
Apple bruker en prosess med trusselinformasjon for raskt å identifisere og blokkere skadelig programvare.
Tre lag med beskyttelse
Beskyttelse mot skadelig programvare er delt inn i tre lag:
1. Forhindre start eller kjøring av skadelig programvare: App Store eller Gatekeeper kombinert med attestering.
2. Blokkere skadelig programvare fra å kjøre på kundenes systemer: Gatekeeper, attestering og XProtect.
3. Avhjelpe skadelig programvare som har kjørt: XProtect
Det første laget med beskyttelse er utviklet for å sørge for at skadelig programvare ikke spres, samt at den ikke kan startes i det hele tatt. Det er målet til App Store og Gatekeeper kombinert med attestering.
Det neste laget med beskyttelse bidrar til å sørge for at skadelig programvare som havner på Macen, raskt blir identifisert og blokkert, både for å hindre spredning og for å avhjelpe tilstanden på Macen der den har fått fotfeste. XProtect bidrar til denne beskyttelsen sammen med Gatekeeper og attestering.
XProtect sørger også for å avhjelpe skadelig programvare som har blitt kjørt.
Disse beskyttelsene, som beskrives ytterligere senere, samarbeider for å sikre mønsterpraksisbeskyttelse mot virus og skadelig programvare. Det finnes andre former for beskyttelse, spesielt på Macer med Apple-chip, for å begrense de potensielle skadene etter eventuell kjøring av skadelig programvare. Se Beskytte apptilgang til brukerdata for mer informasjon om hvordan macOS kan beskytte brukernes data mot skadelig programvare, og Operativsystemintegritet for mer informasjon om hvordan macOS kan begrense hva skadelig programvare kan gjøre på systemet.
Attestering
Attestering er en tjeneste fra Apple. Den skanner etter skadelig programvare. Utviklere som ønsker å distribuere apper for macOS utenfor App Store, sender inn appene sine for skanning som en del av distribusjonsprosessen. Apple skanner programvaren for å avdekke kjent skadelig programvare. Hvis slik ikke finnes, utstedes en attesteringsetikett. Utviklere inkluderer vanligvis denne etiketten i appen, slik at Gatekeeper kan kontrollere og starte appen selv når enheten ikke er koblet til internett.
Apple kan også utstede en tilbakekallingsetikett for apper som er definert som skadelige, selv om de har blitt attestert tidligere. macOS ser regelmessig etter nye tilbakekallingsetiketter, slik at Gatekeeper har den nyeste informasjonen og kan forhindre at slike filer åpnes. Denne prosessen kan raskt blokkere skadelige apper, siden oppdateringer gjøres mye hyppigere i bakgrunnen enn bakgrunnsoppdateringene med nye XProtect-signaturer. I tillegg kan denne beskyttelsen brukes både for apper som har blitt attestert tidligere, og for apper som ikke har det.
XProtect
macOS har innebygd antivirusteknologi, kalt XProtect, for signaturbasert gjenkjenning og fjerning av skadelig programvare. Systemet bruker YARA-signaturer, et verktøy som brukes til å utføre signaturbasert gjenkjenning av skadelig programvare, som Apple oppdaterer regelmessig. Apple overvåker nye infeksjoner og arter av skadelig programvare og oppdaterer signaturene automatisk, uavhengig av systemoppdateringer, for å bidra til å beskytte en Mac mot angrep. XProtect oppdager og blokkerer kjøring av kjent skadelig programvare automatisk. I macOS 10.15 eller nyere søker XProtect etter kjent skadelig innhold hver gang:
en app startes for første gang
en app har blitt endret (i filsystemet)
XProtect-signaturer oppdateres
Når XProtect oppdager kjent skadelig programvare, blokkeres programvaren samtidig som brukeren varsles og får muligheten til å flytte programvaren til papirkurven.
Merk: Attestering er effektivt mot kjente filer (eller filhasher) og kan brukes på apper som har vært startet tidligere. XProtects signaturbaserte regler er mer generiske enn en konkret filhash, og derfor kan de avdekke varianter som Apple ikke har sett. XProtect skanner bare apper som har blitt endret, eller apper som startes for første gang.
Hvis skadelig programvare skulle finne veien til en Mac, inkluderer XProtect også teknologi for å avhjelpe infeksjoner. For eksempel har den en motor som avhjelper infeksjoner basert på oppdateringer levert automatisk fra Apple (som en del av automatiske oppdateringer av systemdatafiler og sikkerhetsoppdateringer). Systemet fjerner skadelig programvare når det mottar oppdatert informasjon, og det fortsetter å se etter infeksjoner med jevne mellomrom, men XProtect starter ikke Macen på nytt automatisk. I tillegg har XProtect en avansert motor for å registrere ukjent skadelig programvare basert på analyser av atferd. Informasjon om skadelig programvare som motoren registrerer, inkludert hvilken programvare som lastet den ned opprinnelig, brukes til å forbedre XProtect-signaturer og macOS-sikkerhet.
Automatiske sikkerhetsoppdateringer for XProtect
Apple sender ut oppdateringer for XProtect automatisk basert på den nyeste tilgjengelige trusselinformasjonen. Standardinnstillingen er at macOS ser etter disse oppdateringene daglig. Attesteringsoppdateringer distribueres oftere via CloudKit-synkronisering.
Slik handler Apple når det oppdages ny skadelig programvare
Når ny skadelig programvare oppdages, kan en rekke tiltak iverksettes:
Tilknyttede Developer ID-sertifikater tilbakekalles.
Det utstedes tilbakekallingsetiketter for attestering for alle filer (apper og tilknyttede filer).
Det utvikles og distribueres XProtect-signaturer.
Disse signaturene distribueres også for programvare som har blitt attestert tidligere, og nye registreringer kan føre til at én eller flere tidligere handlinger skjer.
Til slutt iverksetter en registrering av skadelig programvare flere trinn de neste sekundene, timene og dagene for å sikre optimal beskyttelse for Mac-brukere.