”Varför behöver man inget antivirus på Mac?”

Jag har varit inne på detta några gånger tidigare, vilket också är anledningen att många börjar fundera om jag rökt något olämpligt innan jag sätter mig ned och skriver.

Dom lite mer intresserade hör av sig och undrar vad jag egentligen menar med detta uttalande och dom mer avancerade PC användarna förklarar för mig att jag har fel. Vilket är bra. Man ska vara på hugget hela tiden. 🫶

Givetvis ska man inte ska vara helt utan skydd på sin dator, även om man kör Mac. Apple är duktiga på att hålla borta dåligheter, men dom är inte 100% på att göra detta. Det vet jag, det vet Apple och det vet säkert du också.

Just därför så har Apple sett till att du aldrig är oskyddad på en Mac, oavsett vad du tror. Du har redan antivirus, anti-malware och andra skydd igång, utan att du ens vet om det. Eller kanske jag ska säga ”även om du troligen inte vet om det”, eftersom det är väldigt många som inte känner till dessa saker, men det finns även många som gör det.

Apple gör ingen reklam för det och pratar helst tyst om säkerhetsproblem, men i detta fall så ska jag ändå ”öppna upp” och förklara lite hur det fungerar ”bakom stängda dörrar”.

Dom olika tekniska lösningarna som finns inbygga i din dator, XProtect, Gatekeeper och App Store (bland annat) arbetar alla för att du ska vara så säker som möjligt och helst av allt aldrig ska hinna få någon skadlig programvara eller kod på din dator överhuvudtaget.

Alla är helt gratis för användarna och du kan inte välja att inte installera dom på din dator. Det går emellertid att ta bort dom för utvecklare och annat, men det går vi inte in på här.

Målsättningen med alla Apples skyddsåtgärder är framförallt att man inte ska släppa fram skiten till dörren och försöka hålla den stängd, som på Windows system. Man ser istället till att skiten inte ens vet var man bor, så att säga.

Det finns ytterligare skydd, förutom nedanstående, framförallt på Mac-datorer med Apple Silicon (M1, M2 & M3), för att begränsa den potentiella skadan orsakad av sabotageprogram där körningen av outgrundliga anledningar lyckats. Dessa kommer jag dock inte att gå in på just här och nu.

Lås oss börja från början i processen.

App Store
Första försvarslinjen för samtliga Apple produkter är förstås App Store. Den omtalade funktionen och butiken där du måste ladda ned appar till din iPad, iPhone eller övriga Apple produkter, förutom Mac. På Mac får man nämligen ladda ned produkter var som helst, vilket länge varit ett problem för säkerheten, av naturliga anledningar. Om du inte har koll på vem du laddar ned program från, så blir det förstås problem för Apple att skydda dig mot dina egna dumheter. Så är det bara.

Så länge Apple distribuerar mjukvaran till dina Apple enheter så kan du dock känna dig relativt lugn och trygg. Många genomsökningar och analyser sker innan något får börja delas ut på App Store. Men frågan är alltså hur man gör för att skydda sina användare om dom får för sig att ladda ned något från en annan källa, utanför Apples trygga väggar?

Apple har dock löst det. 😉

Attestering
Attestering är en tjänst för sabotageprogramskanning som tillhandahålls av Apple. Utvecklare som vill distribuera appar för macOS utanför App Store skickar in sina appar för skanning som en del av distributionsprocessen. Apple skannar programvaran efter kända skadeprogram, och om inga hittas utfärdas en attesteringsbiljett. Normalt fäster utvecklarna denna biljett vid appen så att Gatekeeper kan verifiera och starta appen, även i nedkopplat läge.

Gatekeeper är en mjukvara som körs på din Mac och kräver att appar verifieras innan dom får startas och köra kod på datorn, kan jag nämna. Om man vill distribuera en mjukvara för Mac så måste man ha Gatekeepers godkännande för att någon användare ska kunna använda den.

Om den ska bli godkänd hos Gatekeeper så måste den också klara Apples hårda säkerhetskrav. Kort och gott.

Genom detta smarta system så kan Apple också utfärda en ”återkallelsebiljett” för appar som blivit kända att innehålla skadlig kod, även om de tidigare har attesterats och godkänts. Din Mac kontrollerar regelbundet om det finns nya återkallelsebiljetter så att Gatekeeper har den senaste informationen och kan blockera starten av sådana filer innan dom hinner skada din dator.

Den här processen kan mycket snabbt blockera skadliga appar eftersom uppdateringar sker i bakgrunden betydligt oftare än till och med de bakgrundsuppdateringar som hämtar nya XProtect-signaturer. Dessutom kan det här skyddet användas både på appar som tidigare har attesterats och på appar som inte har det.

XProtect
Detta för mig in på en annan försvarslinje, nämligen XProtect. MacOS innehåller en inbyggd antivirusteknik för den signaturbaserade identifieringen och borttagningen av sabotageprogram. Systemet använder YARA-signaturer. Precis som med många andra antivirusprogram så använder XProtect till att utföra signaturbaserad igenkänning av sabotageprogram och uppdateras regelbundet av Apple.

Apple övervakar sabotageprograms spridningar, strängar och uppdaterar signaturer automatiskt, fristående från systemuppdateringar. Dessa uppdateringar kan alltså ske flera gånger på en timme, om det skulle behövas. Allt för att skydda Mac-datorer från sabotageprogram.

XProtect upptäcker automatiskt och stoppar körningen av kända sabotageprogram, helt utan att användaren behöver välja något. I MacOS 10.15 och senare söker XProtect efter känt skadligt innehåll varje gång:

  • En app startas första gången
  • En app har ändrats (i filsystemet)
  • XProtect-signaturer uppdateras

När XProtect upptäcker ett sabotageprogram blockeras programvaran, användaren får ett meddelanden och ges möjlighet att flytta programvaran till papperskorgen. Väldigt smidigt och enkelt, även för någon som inte är så duktig på tekniska prylar.

Obs! Attestering är effektivt mot kände filer (eller filhasher) och kan användas på appar som har startats tidigare. De signaturbaserade reglerna i XProtect är mer allmänna än en specifik filhash, så funktionen kan hitta varianter som Apple inte har sett. XProtect söker endast igenom appar som har ändrats eller appar vid den första körningen.

Skulle ett sabotageprogram ändå ta sig in på en Mac innehåller XProtect dessutom teknik som rensar infektioner. Den innehåller exempelvis en motor som rensar infektioner baserat på automatiska leveranser av uppdateringar från Apple (som en del av automatiska uppdateringar av systemdatafiler och säkerhetsuppdateringar). Den tar också bort sabotageprogram när den får uppdaterad information och fortsätter att regelbundet leta efter infektioner.

Värt att notera är att XProtect inte startar om datorn automatiskt.

Apple utfärdar automatiskt uppdateringar för XProtect baserade på den senaste informationen om nya hot. Som förval kontrollerar MacOS dagligen om sådana uppdateringar finns. Attesteringsuppdateringar som distribueras via CloudKit-synkronisering är mycket mer frekventa.

Snabba steg för att skydda användare
Förutom att skydda din specifika dator mot infektioner så blir följderna betydligt större för den som försöker skrida kaos och oreda i MacOS. När nya sabotageprogram upptäcks utförs ett antal steg som säkrar övriga användare från problem:

  • Alla tillhörande utvecklar-ID-certifikat återkallas. Dom som tillverkat sabotageprogram kan helt enkelt inte distribuera dom längre.
  • Biljetter för återkallande av attesteringar utfärdas för alla appar och tillhörande filer. Detta gör att även om du inte haft problem på din dator ännu så kommer din dator vägra att köra någon skadlig kod.
  • XProtect-signaturer utvecklas och släpps. Dessa signaturer används också retroaktivt på tidigare attesterad programvara. Eventuella nya upptäckter kan leda till att en eller flera av åtgärderna ovan utförs.

Sammanfattningsvis startas en serie steg över de närmaste sekunderna, timmarna och dagarna efter upptäckten av sabotageprogram för att sprida bästa möjliga skydd till Mac-användare.

Hoppas att detta förklarar lite varför jag säger att man inte behöver köpa ett antivirus program för Mac.

Ha en riktigt bra dag så hörs vi snart igen.