Beskyttelse mod malware i macOS
Apple benytter en proces baseret på oplysninger om trusler til hurtigt at identificere og blokere malware.
Tre lag med forsvarsforanstaltninger
Forsvarsforanstaltninger mod malware er struktureret i tre lag:
1. Sørg for, at malware ikke kan startes eller afvikles: App Store eller Gatekeeper i kombination med Notarization
2. Bloker afvikling af malware på kundesystemer: Gatekeeper, Notarization og XProtect
3. Afbød virkningerne af afviklet malware: XProtect
Det første lag med forsvarsforanstaltninger har til formål at modvirke distribution af malware og forhindre, at malware nogensinde startes – det er formålet med App Store og Gatekeeper i kombination med Notarization.
Det næste lag med forsvarsforanstaltninger er med til at sikre, at hvis der forekommer malware på en Mac, bliver den hurtigt identificeret og blokeret, både for at stoppe udbredelsen og for at reparere de Mac-systemer, det er lykkedes at komme ind på. XProtect er med i denne forsvarsforanstaltning sammen med Gatekeeper og Notarization.
Endelig bruges XProtect til at afbøde virkningerne af malware, det er lykkedes af afvikle.
Tilsammen understøtter disse beskyttelsesforanstaltninger, som er beskrevet nærmere nedenfor, de bedste metoder til beskyttelse mod virus og malware. Der er flere beskyttelsesforanstaltninger, især på en Mac med Apple Silicon, der begrænser skadevirkningerne som følge af malware, det alligevel er lykkedes at afvikle. I Beskyttelse af app-adgang til brugerdata kan du læse, hvordan macOS kan hjælpe med at beskytte brugerdata mod malware, og i Operativsystemets integritet kan du læse, hvordan macOS kan begrænse det, som malware kan foretage sig på systemet.
Notarization
Notarization er en tjeneste fra Apple, som scanner efter malware. Udviklere, som ønsker at distribuere apps til macOS uden for App Store, sender deres apps til scanning som et led i distributionsprocessen. Apple undersøger, om softwaren indeholder kendt malware, og udsteder en Notarization-billet, hvis der ikke bliver fundet malware. Udviklere hæfter typisk billetten sammen med deres app, så Gatekeeper kan godkende og starte appen, også offline.
Apple kan også udstede en tilbagekaldelsesbillet til apps, der er kendt som skadelige – også selvom de tidligere er blevet bekræftet notarielt. macOS undersøger jævnligt, om der er nye tilbagekaldelsesbilletter, så Gatekeeper har de nyeste oplysninger og kan forhindre, at disse app-arkiver startes. Processen kan meget hurtigt blokere skadelige apps, fordi opdateringer foregår i baggrunden langt hyppigere end selv de baggrundsopdateringer, som udsender nye XProtect-signaturer. Denne beskyttelse kan desuden anvendes både til apps, der tidligere er blevet bekræftet notarielt, og dem, der ikke er.
XProtect
macOS bruger en indbygget antivirusteknologi, der kaldes XProtect, til at finde og fjerne malware på grundlag af signaturer. Systemet bruger YARA-signaturer, et værktøj, der bruges til at foretage signaturbaseret registrering af malware, og som opdateres jævnligt af Apple. Apple overvåger nye infektioner og belastninger fra malware og opdaterer automatisk signaturer – uafhængigt af systemopdateringer – for at hjælpe med at forsvare en Mac mod infektion fra malware. XProtect registrerer og blokerer automatisk afvikling af kendt malware. I macOS 10.15 og nyere versioner undersøger XProtect, om der er kendt skadeligt indhold, når:
En app startes første gang
En app er blevet ændret (i arkivsystemet)
XProtect-signaturer opdateres
Når XProtect finder kendt malware, blokerer XProtect malwaren og flytter den til papirkurven. Brugeren bliver herefter advaret i Finder. Brugerne kan blive bedt om at dele eksempler på malware med Apple for at forbedre sikkerheden i macOS. Hvis brugerne bekræfter, overfører XProtect kun det eksekverbare malwarearkiv eller hele pakken, hvis det findes i en app-pakke. Der deles ikke andre oplysninger.
Bemærk: Notarization er en effektiv foranstaltning mod kendte arkiver (eller arkivers hash-værdier) og kan bruges på apps, der tidligere er blevet startet. De signaturbaserede regler i XProtect er mere generiske end specifikke hash-værdier til arkiver, så XProtect kan finde varianter, som Apple ikke har set. XProtect undersøger kun apps, der er blevet ændret, eller som startes for første gang.
Hvis malware kommer ind på en Mac-computer, har XProtect også teknologi til at udbedre infektioner. Det indeholder f.eks. et modul, der udbedrer infektioner ved hjælp af opdateringer, der automatisk leveres af Apple (som led i automatiske opdateringer af systemdataarkiver og sikkerhedsopdateringer). Dette system fjerner også malware, når det modtager opdaterede oplysninger, og kontrollerer løbende, om der er infektioner. XProtect vil dog ikke automatisk genstarte Mac-computeren. Desuden indeholder XProtect et avanceret modul til at opdage ukendt malware baseret på analyse af virkemåde. Oplysninger om malware, som opdages af dette modul – herunder hvilken software der i sidste ende var ansvarlig for at hente malwaren – bruges til at forbedre XProtect-signaturer og sikkerheden i macOS.
Automatiske sikkerhedsopdateringer til XProtect
Apple udsender automatisk opdateringer til XProtect på grundlag af de nyeste oplysninger om trusler. Som standard undersøger macOS hver dag, om der er opdateringer. Opdateringer til Notarization, som distribueres ved hjælp af CloudKit-synkronisering, sker langt oftere.
Apples reaktion, når der findes ny malware
Når der bliver fundet ny malware, kan der træffes forskellige foranstaltninger:
Eventuelle tilknyttede certifikater til udvikler-id’er tilbagekaldes.
Der udstedes notarielt bekræftede tilbagekaldelsesbilletter til alle arkiver (apps og deres tilhørende arkiver).
XProtect-signaturer dannes og frigives.
Disse signaturer anvendes også bagudrettet til tidligere notarielt bekræftet software, og alle nye fund kan medføre, at en af de tidligere handlinger foretages.
Opdagelse af malware udløser således en række foranstaltninger i løbet af de næste sekunder, timer og dage for at give Mac-brugere den bedst mulige beskyttelse.
Omgåelse af Gatekeeper og XProtect-hændelser
macOS indeholder en sikker API – Endpoint Security API – til udviklere, så de kan oprette sikkerhedssoftware. På en Mac med macOS 15 og nyere versioner kan tredjepartsudviklere nu modtage hændelser, når en bruger omgår Gatekeeper for at afvikle et program. Det hjælper udviklerne med at registrere disse hændelser centralt. Det er især nyttigt til sikkerhedssoftware og administratorer, fordi det signalerer, når software, der ikke er godkendt, afvikles på slutpunkter. Desuden kan brugere se hændelsen i værktøjet eslogger, som er indbygget i macOS.
Endpoint Security API giver også indblik i registreringer af malware i XProtect. Udviklere kan se:
Specifikke arkiver, som XProtect har fundet
XProtect-signaturen, som er knyttet til registreringshændelsen
Disse yderligere oplysninger kan indsamles af tredjepartsudviklere og gemmes til senere håndtering af hændelser og centraliseret logning.