Proteção contra malware no macOS
A Apple opera um processo de inteligência de ameaças para identificar e bloquear malware rapidamente.
Três camadas de defesa
As defesas contra malware são estruturadas em três camadas:
1. Impedir a abertura ou execução de malware: App Store, ou Gatekeeper combinado com a Autenticação
2. Bloquear a execução de malware em sistemas de clientes: Gatekeeper, Autenticação e XProtect
3. Remediar um malware que tenha sido executado: XProtect
A primeira camada de defesa é projetada para inibir a distribuição de malware e impedir que ele seja aberto até mesmo uma única vez — esse é o objetivo da App Store e do Gatekeeper combinado com a Autenticação.
A camada de defesa seguinte serve para ajudar a garantir que, caso um malware apareça em qualquer Mac, ele seja identificado e bloqueado rapidamente, tanto para parar sua disseminação quanto para remediar os sistemas Mac nos quais ele já tenha ganhado terreno. O XProtect complementa essa defesa, além do Gatekeeper e da Autenticação.
Por fim, o XProtect age para remediar malwares que tenham conseguido uma execução bem-sucedida.
Essas proteções, descritas em mais detalhes abaixo, são combinadas para oferecer suporte às práticas recomendadas de proteção contra vírus e malware. Há proteções adicionais, particularmente em computadores Mac com Apple Silicon, para limitar o dano em potencial de malwares que consigam ser executados. Consulte Proteção do acesso de apps a dados de usuário para ver as maneiras com as quais o macOS pode ajudar a proteger dados de usuário contra malware, e Integridade do sistema operacional para ver as maneiras com as quais o macOS pode limitar as ações que malwares podem realizar no sistema.
Autenticação
A Autenticação é um serviço de análise de malware fornecido pela Apple. Desenvolvedores que desejam distribuir apps para macOS fora da App Store enviam seus apps para análise como parte do processo de distribuição. A Apple analisa esse software em busca de malwares conhecidos e, caso não os encontre, emite um tíquete de Autenticação. Normalmente, desenvolvedores adicionam esse tíquete a seus apps para que o Gatekeeper possa verificar e abrir o app, mesmo off-line.
A Apple também pode emitir uma revogação de tíquete para apps sabidamente maliciosos, mesmo que eles tenham sido autenticados anteriormente. O macOS busca regularmente novos tíquetes de revogação para que o Gatekeeper tenha as informações mais recentes e possa bloquear a abertura desses arquivos. Esse processo pode bloquear apps maliciosos rapidamente porque as atualizações acontecem em segundo plano com uma frequência muito maior do que até das atualizações em segundo plano que enviam novas assinaturas do XProtect. Além disso, essa proteção pode ser aplicada tanto a apps autenticados anteriormente, assim como àqueles que não o foram.
XProtect
O macOS inclui uma tecnologia antivírus integrada, chamada XProtect, para a detecção e remoção de malware com base em assinaturas. O sistema usa assinaturas YARA, uma ferramenta usada para conduzir a detecção de malware com base na assinatura que a Apple atualiza regularmente. A Apple monitora novas infecções e variantes de malware, e atualiza automaticamente as assinaturas (independentemente das atualizações do sistema) para ajudar a proteger um Mac contra infecções de malware. O XProtect detecta e bloqueia automaticamente a execução de malwares conhecidos. No macOS 10.15 ou posterior, o XProtect busca conteúdo malicioso conhecido sempre que:
Um app for aberto pela primeira vez
Um app tiver sido alterado (no sistema de arquivos)
As assinatura do XProtect forem atualizadas
Quando o XProtect detecta um malware conhecido, o software é bloqueado e o usuário é notificado, recebendo a opção de movê-lo para o Lixo.
Nota: a Autenticação é eficiente contra arquivos conhecidos (ou hashes de arquivos) e pode ser usada em apps que tenham sido abertos anteriormente. As regras baseadas em assinaturas do XProtect são mais genéricas do que um hash de arquivo específico para que seja possível encontrar variantes não vistas pela Apple. O XProtect analisa apenas apps que foram alterados ou quando são abertos pela primeira vez.
Se um malware conseguir chegar ao Mac, o XProtect também possui uma tecnologia para solucionar as infecções. Por exemplo, ele possui um mecanismo que remedia infecções com base em atualizações fornecidas automaticamente pela Apple (como parte das atualizações automáticas dos arquivos de dados do sistema e das atualizações de segurança). Esse sistema remove malwares ao receber informações atualizadas e continua buscando infecções periodicamente. Entretanto, o XProtect não reinicia o Mac. Além disso, o XProtect contém um mecanismo avançado para detectar malwares desconhecidos com base em análise comportamental. As informações sobre um malware detectado por esse mecanismo, incluindo qual software foi responsável por baixá‑lo, são usadas para melhorar as assinaturas do XProtect e a segurança do Mac.
Atualizações automáticas de segurança do XProtect
A Apple lança as atualizações do XProtect automaticamente, com base nas informações mais recentes disponíveis sobre ameaças. Por padrão, o macOS busca essas atualizações diariamente. As atualizações da Autenticação, que são distribuídas por meio da sincronização do CloudKit, são muito mais frequentes.
Como a Apple responde quando um novo malware é descoberto
Quando um novo malware é descoberto, vários passos podem ser tomados:
Qualquer certificado de Developer ID associado é revogado.
Os tíquetes de revogação de Autenticação são emitidos para todos os arquivos (apps e arquivos associados).
Assinaturas do XProtect são desenvolvidas e lançadas.
Essas assinaturas também são aplicadas retroativamente a qualquer software autenticado anteriormente e qualquer nova detecção pode resultar na ocorrência de uma ou mais das ações anteriores.
Por fim, a detecção de um malware inicia uma série de passos durante os próximos segundos, horas e dias para propagar as melhores proteções possíveis para usuários de Mac.