macOS integra di serie numerosi meccanismi di sicurezza che consentono di individuare software malevoli e le ultime versioni di macOS integrano – tra le altre cose – anche un sistema che consente di identificare le app che utilizzano la gestione delle attività in background. A proposito di quest’ultimo meccanismo di difesa, un ricercatore di sicurezza afferma che il Background Task Manager di macOS può essere bypassato facilmente e Apple non avrebbe tenuto conto di raccomandazioni in precedenza segnalate, fix che a detta del ricercatore, avrebbero permesso di risolvere il problema.
A riferire del potenziale problema è Patrick Wardle, ricercatore che ha presentato il potenziale problema nel corso della Defcon, importante evento dedicato al mondo dell’hacking etico.
Apple, riferisce il sito 9to5Mac, prevede tre livelli di difesa contro il malware che, nell’ordine, impediscono l’avvio e l’esecuzione di malware (App Store o Gatekeeper combinati con l’autorizzazione), bloccano l’esecuzione del malware sui sistemi client (Gatekeeper, autorizzazione e XProtect), intervengono in caso di esecuzione di malware (XProtect).
Il primo livello di difesa è progettato per inibire la distribuzione del malware e impedirne l’avvio anche una sola volta. Questo è l’obiettivo di App Store e Gatekeeper, insieme al processo di autorizzazione. Il livello di difesa successivo aiuta a garantire che, nel caso in cui un malware compaia su un Mac, questo venga rapidamente identificato e bloccato, sia per fermarne la diffusione sia per proteggere i sistemi Mac in cui ha già trovato un appiglio. XProtect va ad aggiungersi al meccanismo di difesa, insieme a Gatekeeper e al processo di autorizzazione. Infine, XProtect agisce per eliminare il malware che è riuscito a essere eseguito.
L’autorizzazione è un servizio di scansione antimalware fornito da Apple. Gli sviluppatori che vogliono distribuire app per macOS al di fuori di App Store inviano le proprie app perché vengano scansionate come parte del processo di distribuzione. Apple scansiona tale software per verificare la presenza di malware noto e se non ne trova emette un ticket di autorizzazione. Solitamente gli sviluppatori allegano questo ticket alle proprie app, in modo che Gatekeeper possa verificarle e avviarle, anche quando il sistema non è in linea. Apple può anche emettere un ticket di revoca per le app notoriamente dannose, anche se sono state precedentemente autorizzate. macOS verifica regolarmente la presenza di nuovi ticket di revoca, in modo che Gatekeeper abbia a disposizione le informazioni più recenti e possa bloccare l’avvio di tali file.
macOS include una tecnologia antivirus integrata chiamata XProtect, pensata per il rilevamento e la rimozione del malware basata sulle firme. Il sistema utilizza le firme YARA, uno strumento adottato per condurre rilevazioni di malware basate sulle firme che Apple aggiorna regolarmente. Apple verifica la presenza di infezioni malware e alterazioni, e aggiorna automaticamente le firme, a prescindere dagli aggiornamenti di sistema, per contribuire alla difesa dei Mac dalle infezioni malware.
Patrick Wardle riferisce di malware (distribuito all’infuori di App Store) potenzialmente in grado di aggirare il Background Task Manager in vari modi, senza bisogno di conoscere la password dell’utente root, sfruttando un bug nella modalità di comunicazione con il kernel, oppure impostando un processo in stato di stop un modo da impedire la comparsa di notifiche relative alla sicurezza. Un diverso bug richiede l’accesso come utente root ma Wardle riferisce che è necessario risolverlo perché anche questo consente di impedire la comparsa di notifiche relative alla sicurezza.
A questo indirizzo l’elenco dei vari meccanismi di sicurezza integrati di serie in macOS contro il malware.
Per tutte le notizie sulla sicurezza informatica vi rimandiamo a questa sezione di macitynet.