Иллюстрация вредоносного ПО
Apple могла бы сделать macOS Sonoma более активной, когда дело доходит до сканирования на наличие вредоносных программ, а версия XProtect, обнаруживающая вредоносное поведение, похоже, приближается к запуску.
XProtect от Apple — это набор правил, которые используются для проверки приложений и кода на Mac на наличие вредоносных программ. Первоначальные версии XProtect проверяли приложения во время проверок Gatekeeper, а в последующих обновлениях добавлялась ежедневная проверка и расширялись типы вредоносных программ, которые он мог обнаружить.
Третья версия концепции появилась в macOS Ventura, но действовала в качестве наблюдателя, а не активно занималась проблемами вредоносного ПО. Теперь, похоже, Apple готовит эту новую версию, чтобы перейти от наблюдения к реагированию.
По словам Говарда Окли из The Eclectic Light Company, третий XProtect был замечен в macOS Ventura и получил название XProtect Behavior Service (XBS). Служба проверила вредоносное поведение приложений, включая попытки доступа к личным данным, используемым браузерами и приложениями для обмена сообщениями.
До сих пор XBS наблюдала, но избегала блокировки приложений за плохое поведение, хотя и собирала базу данных подозрительной активности на основе набора правил Bastion. Эти правила изначально определяли четыре поведения, а обновления от 8 августа и 1 сентября изменили их, а также добавили пятое правило.
Эти правила Bastion используются для создания фильтров, которые контролируют доступ к таким элементам, как личные данные в браузерах Chrome, Firefox и Safari, или к коммуникационным приложениям, таким как «Сообщения», Microsoft Teams и Slack. Существуют также ограничения на запись в каталог привилегированных вспомогательных инструментов и управление доступом к командам сокета ioctl.
Окли считает, что эти обновления являются важной вехой в развитии XBS для безопасности Mac, но пока компания не перестанет просто наблюдать, «ее роль строго ограничена».
Время, выбранное Apple для обновлений, похоже, соответствует выпуску «полнофункциональной интервенционной» версии XBS для macOS Sonoma, возможно, в начале 2024 года в macOS 14.3, «или, возможно, раньше», считает Окли.
Хотя возможное появление в macOS Sonoma является хорошим знаком, те, кто придерживается использования macOS Ventura, могут вообще не выиграть от этого изменения. Поскольку обновления Bastion полезны только для версий macOS с версией syspolicyd, поддерживающей поведенческую защиту, это исключает выпуски macOS, предшествующие macOS Ventura, и, возможно, саму macOS Ventura.
