Skydd mot sabotageprogram i macOS
Apple använder en process som drar nytta av den senaste informationen om nya hot till att snabbt identifiera och blockera sabotageprogram.
Tre försvarslager
Försvaret mot sabotageprogram är strukturerat i tre lager:
1. Förhindra start eller körning av sabotageprogram: App Store eller Gatekeeper i kombination med attestering
2. Blockera sabotageprogram så att de inte kan köras på kundsystem: Gatekeeper, attestering och XProtect
3. Åtgärda sabotageprogram som har körts: XProtect
Det första försvarslagret är utformat för att förhindra distributionen av sabotageprogram och förhindra att det startar ens en enda gång – detta är målet med App Store och Gatekeeper i kombination med attestering.
Nästa försvarslager är att säkerställa att ett sabotageprogram som hamnar på en Mac snabbt identifieras och blockeras, både för att stoppa spridningen och för att åtgärda de Mac-system som det redan har fått fotfäste i. XProtect bidrar till den här typen av försvar tillsammans med Gatekeeper och attestering.
Slutligen agerar XProtect för att åtgärda sabotageprogram som ändå har körts.
Dessa skydd, som beskrivs ytterligare nedan, ger tillsammans bästa möjliga skydd från virus och sabotageprogram. Det finns ytterligare skydd, framförallt på Mac-datorer med Apple Silicon, för att begränsa den potentiella skadan orsakad av sabotageprogram där körningen lyckats. Se Skydda apptillgång till användardata för olika sätt som macOS kan skydda användardata mot sabotageprogram, och Operativsystemets integritet för olika sätt som macOS kan begränsa de åtgärder som sabotageprogram kan utföra i systemet.
Attestering
Attestering är en tjänst för sabotageprogramskanning som tillhandahålls av Apple. Utvecklare som vill distribuera appar för macOS utanför App Store skickar in sina appar för skanning som en del av distributionsprocessen. Apple skannar programvaran efter kända skadeprogram, och om inga hittas utfärdas en attesteringsbiljett. Normalt fäster utvecklarna denna biljett vid appen så att Gatekeeper kan verifiera och starta appen, även i nedkopplat läge.
Apple kan också utfärda en återkallelsebiljett för appar som är kända för att vara skadliga – även om de tidigare har attesterats. macOS kontrollerar regelbundet om det finns nya återkallelsebiljetter så att Gatekeeper har den senaste informationen och kan blockera starten av sådana filer. Den här processen kan mycket snabbt blockera skadliga appar eftersom uppdateringar sker i bakgrunden betydligt oftare än till och med de bakgrundsuppdateringar som hämtar nya XProtect-signaturer. Dessutom kan det här skyddet användas både på appar som tidigare har attesterats och på appar som inte har det.
XProtect
macOS innehåller en inbyggd antivirusteknik kallad XProtect för den signaturbaserade identifieringen och borttagningen av sabotageprogram. Systemet använder YARA-signaturer. Det är ett verktyg som används till att utföra signaturbaserad igenkänning av sabotageprogram och uppdateras regelbundet av Apple. Apple övervakar sabotageprograms spridningar och strängar och uppdaterar signaturer automatiskt, fristående från systemuppdateringar, för att skydda Mac-datorer från sabotageprogram. XProtect upptäcker automatiskt och stoppar körningen av kända sabotageprogram. I macOS 10.15 och senare söker XProtect efter känt skadligt innehåll varje gång:
En app startas första gången
En app har ändrats (i filsystemet)
XProtect-signaturer uppdateras
När XProtect upptäcker sabotageprogram blockeras programvaran, användaren får ett meddelanden och ges möjlighet att flytta programvaran till papperskorgen.
Obs! Attestering är effektivt mot kände filer (eller filhasher) och kan användas på appar som har startats tidigare. De signaturbaserade reglerna i XProtect är mer allmänna än en specifik filhash, så funktionen kan hitta varianter som Apple inte har sett. XProtect söker endast igenom appar som har ändrats eller appar vid den första körningen.
Skulle ett sabotageprogram ändå ta sig in på en Mac innehåller XProtect dessutom teknik som rensar infektioner. Den innehåller exempelvis en motor som rensar infektioner baserat på automatiska leveranser av uppdateringar från Apple (som en del av automatiska uppdateringar av systemdatafiler och säkerhetsuppdateringar). Det här systemet tar bort sabotageprogram när uppdaterad information tas emot och fortsätter att periodvis leta efter infektioner, men XProtect startar inte om datorn automatiskt. Utöver detta innehåller XProtect en avancerad motor som upptäcker okända sabotageprogram baserat på beteendeanalys. Information om sabotageprogram som upptäckts av denna motor, inklusive vilken programvara som var ansvarig för att hämta den, används till att förbättra XProtect-signaturer och macOS-säkerhet.
Automatiska XProtect-säkerhetsuppdateringar
Apple utfärdar automatiskt uppdateringar för XProtect baserade på den senaste informationen om nya hot. Som förval kontrollerar macOS dagligen om sådana uppdateringar finns. Attesteringsuppdateringar som distribueras via CloudKit-synkronisering är mycket mer frekventa.
Hur Apple svarar när ny sabotageprogramvara upptäcks
När nya sabotageprogram upptäcks kan ett antal steg utföras:
Alla tillhörande utvecklar-ID-certifikat återkallas.
Biljetter för återkallande av attesteringar utfärdas för alla filer (appar och tillhörande filer).
XProtect-signaturer utvecklas och släpps.
Dessa signaturer används också retroaktivt på tidigare attesterad programvara. Eventuella nya upptäckter kan leda till att en eller flera av åtgärderna ovan utförs.
Sammanfattningsvis startas en serie steg över de närmast sekunderna, timmarna och dagarna efter upptäckten av sabotageprogram för att sprida bästa möjliga skydd till Mac-användare.