macOS má řadu vestavěných nástrojů pro detekci malwaru, přičemž loni byl přidán také Správce úloh na pozadí. Bezpečnostní výzkumník však říká, že jej lze obejít a že Apple nedokázal jednat podle jeho doporučení, aby to napravil.
Patrick Wardle prezentoval svá zjištění na hackerské konferenci Defcon. Apple má třívrstvý systém pro ochranu před malwarem. Za prvé se snaží zabránit instalaci malwaru. Dělá to tak, že kontroluje aplikace v Mac App Store a používá Gatekeeper s notářským ověřením, aby bylo zajištěno, že všechny ostatní aplikace jsou podepsány vývojářem.
Za druhé, pokud malware projde touto vrstvou, použije XProtect k rozpoznání malwaru a zablokování jeho spuštění. macOS obsahuje vestavěnou antivirovou technologii zvanou XProtect pro detekci a odstraňování malwaru na základě signatur. Systém využívá signatury YARA, nástroj používaný k detekci malwaru na základě signatur, který Apple pravidelně aktualizuje.
Apple monitoruje nové infekce a kmeny malwaru a automaticky aktualizuje signatury – nezávisle na aktualizacích systému – a pomáhá tak chránit Mac před infekcí malwarem. XProtect automaticky detekuje a blokuje spuštění známého malwaru. Za třetí, i když se malware jednou spustil, Apple se mu v budoucnu snaží zabránit. Společnost často aktualizuje XProtect, aby hledala nově identifikovaný malware. Apple navíc minulý rok představil správce úloh na pozadí, který hledá nejnebezpečnější formu malwaru: aplikace, které jsou aktivní. Některý malware se spustí jednou, například za účelem odcizení osobních údajů, a poté je neaktivní. Ale nejnebezpečnější forma malwaru je aktivní stále. Tato forma malwaru může monitorovat probíhající aktivitu uživatelů, stahovat nové prvky ze serveru útočníka a další. Pokud se z ničeho nic objeví upozornění, je to známka toho, že váš Mac mohl být infikován.
Dá se to ale snadno obejít. Bezpečnostní výzkumník Patrick Wardle minulý rok Apple upozornil na řadu chyb, které objevil ve způsobu, jakým to funguje. Uvedl, že Apple nedokázal vyřešit zásadnější problémy, o kterých se společností diskutoval. Když byl Správce úloh na pozadí poprvé představen, Wardle objevil některé základní problémy s nástrojem, které způsobily selhání upozornění. Nahlásil je Applu a společnost chybu opravila. Ale společnost neidentifikovala hlubší problémy s nástrojem.
Normálně by Wardle sdílel podrobnosti o exploitech až poté, co je Apple opraví. V tomto případě však říká, že Apple o to zřejmě nemá zájem. Jeden z nich vyžaduje přístup k cílovému Macu, ale dva další ne. Wardle také našel dvě cesty, které nevyžadují přístup k deaktivaci trvalých upozornění, která má Správce úloh na pozadí zasílat uživateli. Jeden z těchto exploitů využívá chybu v tom, jak výstražný systém komunikuje s jádrem operačního systému.
