Apple предоставляет функции безопасности в macOS, чтобы предоставить приложениям доступ к файлам в локальном хранилище и съемных дисках. Вот как их настроить.
Несколько лет назад Apple добавила в macOS возможность ограничивать доступ приложений к вашим файлам и папкам, хранящимся на локальных томах, подключенных к вашему Mac.
Некоторым приложениям, таким как Finder, требуется этот доступ. Но в случае со сторонними приложениями вы можете или не хотите, чтобы они имели доступ к вашим файлам.
В Системных настройках macOS есть настройки, позволяющие разрешить или запретить приложениям доступ к вашим файлам.
Некоторые приложения также могут получать доступ к съемным томам, таким как флэш-накопители USB или тома CD/DVD, когда они вставлены в DVD-привод Mac.
Вы также можете указать, какие приложения будут иметь доступ к съемным устройствам, в настройках системы. Не все приложения предоставляют такую возможность, и если да, то приложения и их настройки будут отображаться на панели «Настройки системы» -> «Безопасность и конфиденциальность».
Приложения должны создаваться с доступом
Когда приложения Mac создаются с использованием среды разработки Apple Xcode, в пакет каждого приложения включаются определенные настройки безопасности. Они основаны на том, как разработчик настроил эти параметры в Xcode.
Одним из этих параметров является разрешение или запрет доступа к файлам и папкам.
Если разработчик приложения включил этот параметр при создании приложения, он отобразится на панели «Настройки системы» -> «Безопасность и конфиденциальность» -> «Файлы и папки». В противном случае приложение не будет там указано.
В частности, эти параметры настраиваются в настройках Signing & Capabilities->App Sandbox->File Access каждой цели сборки в Xcode:
Настройки целевой тестовой среды приложения в Apple Xcode.
Песочница приложения
App Sandbox — это система безопасности, встроенная в macOS, которая по умолчанию блокирует доступ приложений к конфиденциальным частям системы, таким как файловая система и сеть. Приложениям разрешен доступ только к тем частям системы, на доступ к которым им было предоставлено разрешение.
Эти настройки в Xcode включают в себя определенные пользовательские папки, такие как «Загрузки», «Изображения», «Музыка» и т. д., но есть также настройка для файла, выбранного пользователем.
Именно этот параметр позволяет стороннему приложению разрешать пользователям выбирать файлы для доступа с помощью стандартной панели выбора файлов системы macOS. Разработчики также могут указать, разрешить ли доступ только для чтения или доступ для чтения и записи.
Флажок «Оборудование->USB» в Xcode определяет, разрешать ли приложениям доступ к USB-устройствам, включая флэш-накопители.
От того, как эти параметры настраиваются во время сборки приложения, зависит, будут ли они отображаться в настройках системы для доступа к файлам и съемным устройствам.
Разработчики также могут полностью отключить доступ к файлам, запретив доступ к файлам на уровне безопасности системы независимо от того, какие API-интерфейсы может вызывать приложение. Также имеются настройки песочницы для камеры, звука, печати и Bluetooth.
Вот почему вы можете увидеть предупреждение macOS, например, при первом запуске приложения VOIP, такого как Skype, или некоторых игровых приложений, которым требуется доступ к микрофону вашего компьютера.
В совокупности настройки App Sandbox ограничивают или разрешают тип доступа приложения к вашему Mac. Apple добавила эти настройки в macOS, чтобы вредоносное ПО не могло выполнять такие действия, как отправка всего содержимого вашего загрузочного диска злоумышленнику.
Благодаря App Sandbox и другим функциям безопасности вам не придется слишком беспокоиться о загрузке приложения Mac и получении им всех ваших локальных данных в момент его запуска.
Все приложения macOS, распространяемые в Mac App Store, должны иметь включенную песочницу в Xcode во время сборки, даже если все настройки отключены.
Изменение настроек доступа
Для доступа к файлам и папкам вы можете переключить эти настройки в двух местах приложения «Системные настройки»:
Системные настройки->Безопасность и конфиденциальность->Файлы и папки Системные настройки->Безопасность и конфиденциальность->Полный доступ к диску
В случае полного доступа к диску в Xcode в песочнице приложения нет настроек. Когда вы включаете полный доступ к диску, вы предоставляете приложению доступ ко всем файлам вашего загрузочного диска на уровне ОС, а не только к определенным папкам или файлам, выбранным пользователем.
Полный доступ к диску — это более общий и серьезный уровень безопасности, поэтому вам следует осторожно менять «Полный доступ к диску», поскольку это дает соответствующему приложению возможность свободно управлять загрузочным диском вашего Mac.
Полный доступ к диску для приложений в приложении «Системные настройки» macOS.
В случае съемных дисков, если приложение настроено на разрешение доступа к съемным томам, для этого приложения на панели «Файлы и папки» появится дополнительный переключатель. Не все приложения могут поддерживать съемные устройства.
Вы также можете увидеть дополнительные переключатели для каждой из пользовательских папок, упомянутых выше, а в некоторых случаях и для рабочего стола. Если приложению требуется или включен полный доступ к диску, этот заголовок появится рядом с приложением на панели «Файлы и папки», но будет выделен серым цветом.
Включение съемного доступа в настройках системы macOS.
Очевидно, что если вы предоставляете приложению полный доступ к диску, ему не нужны отдельные переключатели разрешений на панели «Файлы и папки».
Системные настройки->Безопасность и конфиденциальность->Полный доступ к диску позволяют вам указать, каким приложениям должен быть разрешен полный доступ к диску.
Можно отключить полный доступ к диску для приложений Finder и Dock. Однако, вероятно, лучше этого не делать, поскольку они оба являются неотъемлемой частью Finder и оба созданы Apple.
Единственная причина, по которой вы можете захотеть отключить доступ для этих приложений, — это если вы хотите, чтобы ваш Mac работал как киоск, или, например, если вы хотите ограничить доступ к файлам для детей.
В частности, сетевым приложениям не следует предоставлять полный доступ к диску, поскольку это создает повышенный риск безопасности. Одним из примеров является вредоносный Java-апплет или расширение, загруженное через веб-браузер.
macOS также использует Gatekeeper и защиту во время выполнения, чтобы защитить основные части операционной системы и ее файлы от сторонних приложений. Это гарантирует невозможность взлома системы.
Gatekeeper также обеспечивает определенный уровень уверенности в том, что приложение создано его фактическим зарегистрированным разработчиком и не является подделкой.
Приложения Gatekeeper должны быть подписаны цифровой подписью Xcode, прежде чем их можно будет распространять в Mac App Store. Если они подделаны, Finder сообщит вам об этом при попытке их запуска.
Mac App Store также использует нотариальное заверение и проверку зашифрованных цифровых квитанций, чтобы гарантировать, что загруженные приложения Mac не были скомпрометированы.
В целом эти настройки безопасности помогают повысить безопасность вашего Mac и означают, что вредоносным программам будет гораздо сложнее проникнуть через защиту вашего Mac. Они также помогают защитить ваши личные файлы.
Возможно, вы захотите взглянуть на эти настройки, чтобы убедиться, что все ваши приложения настроены на максимальную безопасность. Также обязательно ознакомьтесь с руководством по безопасности платформы Apple.