Negli anni passati macOS ha sempre tenuto conto di potenziali malware sfruttando, vari meccanismi di difesa (ne parliamo in dettaglio qui) che prevedono, tra le altre cose, una tecnologia denominata XProtect, pensata per il rilevamento e la rimozione del malware basata sulle firme. Il sistema utilizza le firme YARA, uno strumento adottato per condurre rilevazioni di malware basate sulle firme che Apple aggiorna regolarmente. Apple verifica la presenza di infezioni malware e alterazioni, e aggiorna automaticamente le firme, a prescindere dagli aggiornamenti di sistema, per contribuire alla difesa dei Mac dalle infezioni malware. XProtect rileva e blocca automaticamente l’esecuzione di malware noto. In macOS 10.15 o versioni successive, XProtect verifica la presenza di contenuti nocivi conosciuti ogni volta che un’app viene avviata per la prima volta, un’app è stata modificata (nel file system) e le firme di XProtect vengono aggiornate.
Quando XProtect rileva malware noto, il software viene bloccato; l’utente riceve una notifica di tale blocco e gli viene chiesto se vuole spostare il software nel Cestino.
Già lo scorso anno Apple ha aggiornato il meccanismo di automatico di scansione contro potenziali malware, sfruttando una modalità che consente di individuare potenziali software malevoli quando il Mac è in pausa, in altre parole quando il Mac è attivo ma non sono in corso attività importanti in background, esempio backup periodici o quando si ricevono email.
Oward Oakley del blog The Eclectic Light Company, spiega che con macOS Sonoma, la sicurezza su Mac fa un ulteriore passo avanti: il sistema operativo è in grado di monitorare comportamenti anomali grazie ai quali è potenzialmente possibile individuare malware sconosciuti.
In una sessione delle presentazioni alla WWDC23 (conferenza sviluppatori) si fa riferimento a “vincoli ambientali”, regole che descrivono il comportamento normalmente previsto quando si esegue codice non-malevolo. Un primo livello di protezione di questo tipo è stato già integrato in macOS Ventura, tenendo conto del software di sistema, e con macOS Sonoma è ora in grado di monitorare anche i software di terze parti.
Tralasciando i tecnicismi, è un ulteriore livello di difesa, un processo basato sulla raccolta di informazioni riguardanti le minacce di sicurezza per identificare e bloccare rapidamente qualsiasi malware.
A macOS 10.14 Sonoma stiamo dedicando man mano diversi articoli di approfondimento illustrando peculiarità e novità di rilievo; la sezione dedicata di macitynet con tutti gli articoli su Sonoma è disponibile da questa pagina.