Alternando o acesso total e removível ao disco para aplicativos no macOS

Anos atrás, a Apple adicionou a capacidade do macOS de restringir quais aplicativos podem acessar seus arquivos e pastas armazenados em volumes locais anexados ao seu Mac.

Alguns aplicativos, como o Finder, exigem esse acesso. Mas no caso de aplicativos de terceiros, você pode ou não querer que eles tenham acesso aos seus arquivos.

macOS tem preferências em Configurações do sistema para permitir ou negar acesso de aplicativos aos seus arquivos.

Alguns aplicativos também podem acessar volumes removíveis, como pen drives USB ou volumes de CD/DVD, quando inseridos em uma unidade de DVD do Mac.

Você também pode definir quais aplicativos têm acesso a recursos removíveis em Configurações do sistema. Nem todos os aplicativos oferecem esse recurso e, se o fizerem, os aplicativos e suas configurações aparecerão no Configurações do sistema->Segurança e privacidade painel.

Quando os aplicativos Mac são criados usando o ambiente de desenvolvedor Xcode da Apple, configurações de segurança específicas são incluídas no pacote de cada aplicativo. Eles são baseados em como um desenvolvedor configurou essas configurações no Xcode.

Uma dessas configurações é permitir ou não o acesso a arquivos e pastas.

Se o desenvolvedor do aplicativo tiver incluído essa configuração quando um aplicativo for criado, ela aparecerá no Configurações do sistema->Segurança e privacidade->Arquivos e pastas painel. Caso contrário, o aplicativo não estará listado lá.

Especificamente, essas configurações são definidas em cada destino de compilação Assinatura e recursos-> App Sandbox-> Acesso a arquivos configurações no Xcode:

Configurações do Target App Sandbox no Xcode da Apple.

O App Sandbox é um sistema de segurança integrado ao macOS que, por padrão, impede o acesso dos aplicativos de partes confidenciais do sistema, como o sistema de arquivos e a rede. Os aplicativos só têm permissão para acessar partes do sistema às quais receberam permissão para acessar.

Essas configurações no Xcode incluem pastas de usuário específicas, como Downloads, Imagens, Música, etc., mas também há uma configuração para Arquivo selecionado pelo usuário.

É essa configuração que permite que um aplicativo de terceiros permita que os usuários selecionem arquivos para acessar usando uma folha de seletor de arquivos aberta do sistema macOS padrão. Os desenvolvedores também podem especificar se permitem acesso somente leitura ou acesso de leitura e gravação.

O Hardware->USB A caixa de seleção no Xcode determina se deve ou não permitir que aplicativos acessem dispositivos USB, incluindo pen drives.

A maneira como essas configurações são definidas no momento da criação do aplicativo determina se elas aparecerão nas configurações do sistema para acesso removível e de arquivo.

Os desenvolvedores também podem desativar totalmente todo o acesso a arquivos, negando acesso a arquivos no nível de segurança do sistema, independentemente de quais APIs o aplicativo possa chamar. Existem também configurações de Sandbox para câmera, áudio, impressão e Bluetooth.

É por isso que você pode ver um alerta do macOS, por exemplo, na primeira vez que executar um aplicativo VOIP como o Skype ou alguns aplicativos de jogos que desejam acessar o microfone do seu computador.

Em conjunto, as configurações do App Sandbox restringem ou permitem o tipo de acesso que um aplicativo tem ao seu Mac. A Apple adicionou essas configurações ao macOS para evitar que malware execute ações como enviar todo o conteúdo do disco de inicialização para um agente mal-intencionado.

Com o App Sandbox e outros recursos de segurança, você não precisa se preocupar tanto em baixar um aplicativo Mac e fazer com que ele capture todos os seus dados locais no instante em que você o executa.

Todos os aplicativos macOS distribuídos na Mac App Store devem ter o Sandbox habilitado no Xcode no momento da compilação, mesmo que todas as configurações estejam desativadas.

Para acesso a arquivos e pastas, você pode alternar essas configurações em dois locais na Configurações do sistema aplicativo:

1. Configurações do sistema->Segurança e privacidade->Arquivos e pastas
2. Configurações do sistema->Segurança e privacidade->Acesso total ao disco

No caso de Acesso total ao disconão há configuração no Xcode no App Sandbox. Quando você habilita Acesso total ao discovocê está concedendo a um aplicativo acesso a todos os arquivos do disco de inicialização no nível do sistema operacional, não apenas a pastas específicas ou arquivos selecionados pelo usuário.

Acesso total ao disco é um nível de segurança mais geral e sério – então você deve mudar Acesso total ao disco com cuidado, pois isso dá ao aplicativo em questão controle livre sobre o disco de inicialização do seu Mac.

Acesso total ao disco para aplicativos no aplicativo Configurações do sistema do macOS.

No caso de unidades removíveis, se um aplicativo estiver configurado para permitir acesso a volumes removíveis, uma opção adicional aparecerá para esse aplicativo no Arquivos e pastas painel. Nem todos os aplicativos podem suportar removíveis.

Você também pode ver opções adicionais para cada uma das pastas de usuário mencionadas acima e, em alguns casos, também para a área de trabalho. Se o aplicativo exigir ou tiver Acesso total ao disco ativado, esse título aparecerá ao lado do aplicativo no Arquivos e pastas painel, mas ficará esmaecido.

Habilitando acesso removível nas configurações do sistema do macOS.

Obviamente, se você conceder um aplicativo Acesso total ao discoele não precisa das opções de permissão individuais no Arquivos e pastas painel.

Configurações do sistema->Segurança e privacidade->Acesso total ao disco permite que você defina quais aplicativos devem ter acesso total ao disco.

É possível desativar o acesso total ao disco para os aplicativos Finder e Dock. No entanto, provavelmente é melhor não fazer isso, pois ambos são parte integrante do Finder – e ambos vêm da Apple.

O único motivo pelo qual você pode querer desativar o acesso a esses aplicativos é se quiser que seu Mac funcione como um quiosque ou, por exemplo, se quiser restringir o acesso a arquivos por crianças.

Os aplicativos baseados em rede, em particular, não devem ter acesso total ao disco, pois isso cria um risco de segurança maior. Um exemplo é um miniaplicativo ou extensão Java malicioso baixado por meio de um navegador da web.

O macOS também usa Gatekeeper e proteção de tempo de execução para proteger as partes principais do sistema operacional e seus arquivos de aplicativos de terceiros. Isso garante que o sistema não possa ser adulterado.

O Gatekeeper também fornece um nível de confiança de que um aplicativo veio de seu desenvolvedor registrado real e não é falso.

Os aplicativos Gatekeeper precisam ser assinados digitalmente pelo Xcode antes de poderem ser distribuídos na Mac App Store. Se eles forem adulterados, o Finder avisará você quando tentar iniciá-los.

A Mac App Store também emprega notarização e verificação de recibo digital criptografado para garantir que os aplicativos Mac baixados não tenham sido comprometidos.

No geral, essas configurações de segurança ajudam a aumentar a segurança do seu Mac e significam que o malware terá muito mais dificuldade em penetrar nas defesas do seu Mac. Eles também ajudam a proteger seus arquivos privados.

Você pode querer dar uma olhada nessas configurações para garantir que todos os seus aplicativos estejam configurados para segurança máxima. Além disso, certifique-se de verificar o guia de segurança da plataforma Apple.