Como o XProtect do macOS procura e detecta vírus

Vírus e outros malwares são uma ameaça constante aos computadores, que os internautas precisam contornar sempre que acessam a Internet.

Um vírus de computador é um pequeno pedaço de código que é instalado silenciosamente em seu computador. Aquele em que ele é executado ou incorporado a outro software e causa estragos.

O software malicioso é escrito por pessoas mal-intencionadas que pretendem danificar computadores, sistemas ou outros dispositivos eletrônicos. Uma vez que um vírus se espalha, ele pode se espalhar rapidamente por milhões de computadores – muitas vezes sem ser detectado até que seja tarde demais.

Em resposta a vírus e outros malwares, muitos fornecedores de software e sistemas operacionais desenvolveram software antivírus ou antimalware. Eles podem verificar e “limpar” códigos maliciosos em um computador.

Uma maneira de o software antivírus fazer isso é verificar assinaturas, tamanhos e códigos de aplicativos conhecidos. Eles são então comparados com bancos de dados baixados de malware conhecido.

Se uma correspondência for encontrada, o software defeituoso pode ser removido do computador.

Dois dos primeiros pacotes de software antivírus que datam de décadas no Mac são o Norton Anti-virus e o Virex. McAfee é outro aplicativo antivírus que existe no Mac há anos e ainda está disponível hoje.

A partir do Mac OS X 10.6 Snow Leopard em 2009, a Apple adicionou sua própria proteção antivírus chamada XProtect.

O XProtect é executado em segundo plano, analisando sempre que um aplicativo é iniciado pela primeira vez, quando um aplicativo é alterado no sistema de arquivos ou quando um novo banco de dados de assinaturas XProtect para download fica disponível.

Estas são as respostas de segurança que você verá frequentemente listadas em Configurações do sistema->Geral->Atualizações de software

Alguns usuários relataram alto uso de CPU do serviço XProtect em segundo plano (XProtectService), conforme visto no utilitário Activity Monitor, mas pessoalmente, ainda não vimos isso.

Como o XProtect é executado silenciosamente em segundo plano, ele observa o sistema de arquivos e os aplicativos enquanto eles são executados – verificando se há malware no seu Mac listado no banco de dados de assinaturas do XProtect. Se uma correspondência for encontrada, o XProtect solicitará que você remova o malware do seu computador.

Ao usar um monitor de fundo silencioso para monitorar malware, o XProtect mantém seu Mac seguro e livre de aplicativos potencialmente prejudiciais.

Como o XProtect faz parte do macOS e seus arquivos de assinatura são hospedados e instalados pela Apple, você não precisa se preocupar com nada – seu Mac cuida de tudo para você.

Você pode ver quais arquivos de assinatura XProtect foram baixados para o seu Mac mantendo pressionado o botão Opção tecla e selecionando Informações do sistema do Cardápio de maçã na barra de menu.

Isso executa o aplicativo Informações do sistema em /Utilitários. Role até Software->Instalações à esquerda para ver XProtectPayloads e XProtectPlistConfigData que mostram a versão e data/hora em que cada banco de dados de assinatura XProtect foi baixado da Apple.

Execute as Informações do sistema para ver os downloads recentes do XProtect.

Quando desenvolvedores terceirizados criam um aplicativo para Mac, eles podem enviá-lo à Apple para Notarização. Os aplicativos enviados à Apple dessa forma são verificados em busca de malware, e a Apple faz uma assinatura de versões conhecidas do aplicativo para incluir no arquivo de assinaturas XProtect.

A Apple fornece aos desenvolvedores duas ferramentas de linha de comando para reconhecimento de firma: altool (obsoleto) e o mais recente notarytool que foi enviado após o Xcode 13. altool não é mais fornecido com o macOS 15 Sequoia e a Apple possui uma nota técnica (TN3147) sobre a migração da ferramenta antiga para a nova.

Você pode obter ajuda sobre como usar notarytool no aplicativo Terminal do macOS digitando:

man notarytool e pressionando Retornar.

Imprensa Controle-Z no teclado para sair da página de manual.

A notarização funciona em conjunto com o Gatekeeper e o Developer ID da Apple para garantir que os aplicativos Mac distribuídos fora da Mac App Store sejam autênticos e não contenham malware – incluindo vírus.

Depois que a Apple autenticar um aplicativo de terceiros, ele poderá ser lançado fora da Mac App Store pelos desenvolvedores.

A notarização e o Gatekeeper – junto com o XProtect – são o que faz com que a caixa de diálogo “Verificando…” apareça no Finder na primeira vez que você executa um aplicativo não lançado pela Mac App Store.

O processo de verificação do aplicativo verifica o pacote (pasta) do aplicativo em busca de componentes maliciosos e impede sua execução se algum for encontrado. Ele também compara o conteúdo do aplicativo com assinaturas de malware conhecidas contidas no banco de dados de assinaturas XProtect.

Esse é um dos motivos pelos quais o processo de “verificação” pode demorar tanto para aplicativos maiores na primeira vez que você os executa.

Ao clicar duas vezes em um aplicativo Mac autenticado no macOS Finder, você verá a mensagem “Este aplicativo é um aplicativo baixado da Internet. Tem certeza de que deseja abri-lo?” diálogo. Isso lhe dá a chance de parar de executar o aplicativo, se desejar.

Se você clicar OK o Finder inicia o aplicativo e, se tiver sido autenticado, o XProtect começa a verificá-lo em busca de componentes maliciosos.

Crédito da imagem: avagustafson

Anteriormente, era possível desabilitar completamente o Gatekeeper, mas a Apple removeu esse recurso em 2016. Softwares Mac de terceiros que não sejam do Gatekeeper não serão executados nas versões atuais do macOS se não tiverem sido autenticados ou criados com ID do desenvolvedor sem avisar você primeiro .

Se você receber avisos “Mover para a lixeira” ou não verificados no Finder ao iniciar um aplicativo Mac, será necessário acessar Configurações do sistema->Privacidade e segurança. Clique no Abrir mesmo assim botão e digite uma senha de administrador para o seu Mac.

A Apple agora também exige que desenvolvedores terceirizados adicionem o LSQuarantine (com.apple.quarantine) estendeu o atributo do sistema de arquivos aos downloads de seus aplicativos antes de distribuí-los na Internet. Este atributo faz com que o Gatekeeper verifique o aplicativo antes de executá-lo.

No entanto, ainda é possível que os desenvolvedores lancem software Mac na Internet sem adicionar esse atributo.

Juntos, esses recursos de segurança significam que é muito mais difícil para os agentes de malware infectarem seu Mac com software nocivo.

O XProtect é executado pelo menos uma vez por dia e quando a atividade do usuário em um Mac está baixa, de acordo com a Apple.

XProtect usa um conjunto de regras da Yara International ASA para comparar seu banco de dados com aplicativos em seu Mac. YARA usa detecção baseada em assinatura para localizar malware incorporado no código.

Quando o XProtect verifica se há malware em aplicativos no seu Mac, ele usa as regras YARA para verificar cada aplicativo em busca de um conjunto de comparações. Isso pode fornecer pistas que apontam para códigos maliciosos incorporados em aplicativos ou pacotes de aplicativos.

A CISA possui um documento um tanto desatualizado sobre o uso do YARA para detecção de malware. Você realmente não precisa conhecer os detalhes internos do YARA para ser útil, já que a Apple cuida de seu uso no macOS.

XProtect baixa e atualiza seus próprios arquivos de assinaturas.

Se você tentar iniciar um aplicativo contendo malware conhecido, o XProtect executará o Remediador XProtect e irá alertá-lo no Finder de que o aplicativo pode conter malware. O Finder perguntará se você deseja movê-lo para a Lixeira.

Se você clicar Mover para a lixeirao Finder moverá o aplicativo para a Lixeira do macOS, mas não o excluirá. Você deve usar o Finder-> Esvaziar Lixo item de menu para realmente excluir o aplicativo do seu Mac.

O XProtect Remediator informa no Finder qual malware o XProtect encontrou em um aplicativo específico quando você tentou iniciá-lo. Você pode então decidir se deseja movê-lo para a Lixeira ou não.

Howard Oakley, da Eclectic Light Company, tem uma página interessante sobre o que acontece quando o XProtect Remediator é executado.

Oakley também tem uma nota de 2022 sobre as alterações que a Apple fez no XProtect – e quais malwares ela verifica, embora a lista não seja de forma alguma exaustiva.

O macOS também inclui uma interface de linha de comando (CLI) para XProtect chamada xprotect. Você pode executar esta ferramenta no Terminal com um comando para obter informações sobre o XProtect em execução no seu Mac.

Para uma lista de xprotect comandos no tipo Terminal:

man xprotect e pressione Retornar no seu teclado.

Resumidamente, os comandos são:

1. atualização – força o download de novos arquivos XProtect
2. verificar – imprimir a versão de atualização on-line atualmente disponível
3. versão – imprime a versão atualmente instalada dos arquivos XProtect
4. logs – exibe logs do XProtect
5. status – imprime o status atual do XProtect
6. help – imprime ajuda para um subcomando

Observe que todos xprotect os comandos devem ser executados usando o sudo comando e uma senha de administrador no Terminal para que funcionem.

Por exemplo, correr sudo xprotect update impressões:

No update applied, already up to date

quando não há novas partes do XProtect para download.

Como observa a Apple, quando o XProtect detecta malware, a Apple pode responder de várias maneiras – incluindo, mas não se limitando a:

1. Todos os certificados de ID do desenvolvedor associados serão revogados
2. Bilhetes de revogação de notarização são emitidos para todos os arquivos
3. Assinaturas XProtect são desenvolvidas e lançadas

Em geral, você também pode verificar as políticas de segurança do sistema do seu Mac no Terminal usando o spctl ferramenta de linha de comando:

spctl --status (Controle de política do sistema).

Se a verificação de segurança estiver habilitada, você verá esta resposta:

spctl tem uma enorme variedade de opções e ferramentas – então você vai querer verificar o man página no Terminal para obter mais informações.

A resposta é: majoritariamente. Mas não.

A menos que o seu Mac esteja sempre offline, você raramente instale software ou esteja vendo problemas específicos de desempenho, não há motivo real para desativar o XProtect. Fazer isso abre o seu Mac para uma enxurrada de malwares conhecidos e desconhecidos na Internet – e você estará apenas procurando problemas se fizer isso.

Dito isto, se você absolutamente deve desabilitar o XProtect, você pode fazer isso no Terminal com o seguinte comando:

sudo spctl --master-disable

Para reativar o uso do XProtect:

sudo spctl --master-enable

Mesmo se você desabilitar o XProtect, você vai querer fazê-lo pelo menor período possível – sempre reative-o assim que terminar qualquer tarefa que exija que ele seja desabilitado.

Embora o XProtect seja gerenciado pela Apple e faça parte do macOS, ainda pode haver momentos em que você queira executar um scanner de malware de terceiros em seu Mac para procurar software malicioso.

Scanners testados e comprovados, como Norton e McAfee, já existem há décadas, então são sempre uma aposta segura. Existem também outros de terceiros menores que são bons, como o PrivacyScan (US$ 15) da SecureMac.com.

Se você usar um scanner de terceiros, tente usar um vendido na Mac App Store, pois a Apple analisa todos os aplicativos da App Store para garantir que também não contenham malware.

A Apple fez um bom trabalho com o XProtect e, na maior parte, é silencioso e confiável. Você pode querer ativar as atualizações automáticas de segurança nas configurações do sistema apenas para garantir que o seu Mac receba todos os novos arquivos de vulnerabilidade e atualizações assim que forem lançados pela Apple.