24 junio, 2021

¿Las Mac tienen antivirus incorporado? MacMyths

Dado que mi blog trata sobre disipar mitos sobre los productos Apple, y Mac, en particular, un tema sobre el que escribo mucho es el malware en Mac.

Aquí hay un correo electrónico que recibí ayer de uno de mis lectores:

“Hola Al, siempre pensé que las Mac tenían menos probabilidades de contraer virus, ser pirateadas, etc. que las PC. ¿Es esto cierto? Muchas gracias. KG ”

Generalmente, la afirmación es verdadera. De hecho, las Mac son menos propensas a contraer virus que las PC, pero esto no significa que nunca contraigan virus. Mire, por ejemplo, las estadísticas de AV-Test.org.

Estadísticas de malware de AV-Test

De la captura de pantalla, se puede hacer una conclusión de que, si bien hay 1500 veces más malware desarrollado para macOS que para Windows en 2019, la cantidad sigue siendo bastante grande para ignorarla.

Por lo tanto, establecimos que los piratas informáticos apuntan a las computadoras Apple. La siguiente pregunta natural es si las Mac tienen herramientas integradas que eviten el malware.

Si bien las Mac no vienen con en las aplicaciones antivirus, tienen protección contra malware. Primero, GateKeeper en macOS intenta evitar la descarga de aplicaciones no autorizadas. Entonces XProtect evita la ejecución de malware conocido. Y finalmente, las Herramientas de eliminación de malware eliminan el malware de la computadora.

Do Macs get virus

Las computadoras Apple tienen un largo historial de lidiar con virus. De hecho, el primer virus en una computadora personal fue escrito para una computadora Macintosh y se llamó Elk Cloner.

La percepción de que las Mac no tienen virus provino del hecho de que las PC son más extendido, y los piratas informáticos están tratando de maximizar el daño que están haciendo. Por lo tanto, se espera que los piratas informáticos apunten principalmente a las PC porque había 100 veces más PC que MacBooks.

Dado que a Apple le gusta controlar todo, desde el hardware hasta el software, las posibilidades de descargar malware son algo pequeñas. , pero no inexistente.

Así es como Apple describe el malware:

“ El malware es software malintencionado, que incluye virus, gusanos, troyanos y otros programas que pueden dañar su Mac o su privacidad. Se puede instalar software malicioso al descargar elementos de correo electrónico, mensajes y sitios web ”.

Afortunadamente, Apple reconoce la amenaza, y desarrollaron un enfoque de tres puntas para combatirla.

¿Qué es GateKeeper en Mac

La primera línea de defensa en su Mac es GateKeeper. Cuando inicia la aplicación por primera vez, GateKeeper intenta verificar la información del desarrollador.

Hay varios escenarios posibles dependiendo de cómo se distribuyó la aplicación.

App Store

App Store es una forma preferida de implementar aplicaciones. Si el desarrollador envía su programa a la App Store, Apple se asegurará de que la aplicación esté libre de cualquier cosa que pueda dañar a los usuarios, incluidos virus o robo de datos de usuario.

No todos los desarrolladores aceptan esto. ruta, y hay varias razones.

Primero, si la aplicación es paga, Apple tomará una parte de las ventas. Por lo tanto, omitir la App Store permite al desarrollador mantener el precio de la aplicación bajo para los usuarios finales.

En segundo lugar, las aplicaciones descargadas de la App Store están restringidas al llamado Sandbox. Significa que el acceso a los recursos del sistema y del hardware es limitado. Esto funciona bien para editores de texto como Microsoft Word, pero no para utilidades como limpiadores de disco y soluciones antimalware.

Pero, la conclusión es que si solo está descargando aplicaciones de la App Store , tu Mac está a salvo.

Desarrolladores identificados

Los desarrolladores de aplicaciones no están obligados a implementar sus programas a través de la App Store. Si se registran en el programa de desarrolladores de Apple y firman sus aplicaciones con una firma válida, serán reconocidos como desarrolladores identificados.

Esta es la forma de Apple de decir: “conocemos a este desarrollador y confiamos ellos.” Por ejemplo, Google Chrome se puede descargar de su sitio web y Google es un desarrollador identificado.

En este caso, el trabajo del GateKeeper es saber si la aplicación proviene del desarrollador identificado. Y si no, GateKeeper bloqueará el lanzamiento de la aplicación.

Notarizing

A partir de macOS Mojave, Apple estableció reglas aún más estrictas y exigió a los desarrolladores que certificaran sus aplicaciones ante notario (https://support.apple.com/en-us/HT202491). Significa que los desarrolladores tienen que enviar cada nueva construcción al servicio de notarización automática, que proporcionará un ticket que se puede adjuntar al archivo. Este ticket asegura que la aplicación proviene de un desarrollador conocido y que el archivo no fue manipulado (como usted sabe, los virus a menudo se adjuntan a programas legítimos). Nuevamente, este es el trabajo de GateKeeper para verificar todo esto.

Desarrolladores no identificados

No todos los desarrolladores optaron por seguir los procesos descritos anteriormente. Por ejemplo, si su amigo crea una aplicación, aún puede instalarla en su computadora. O un hacker puede adjuntar malware al correo electrónico. GateKeeper bloqueará dichas aplicaciones. Hay soluciones, y las describí aquí.

Y dado que GateKeeper se puede omitir, la siguiente línea de defensa es XProtect.

¿Qué es XProtect en Mac

XProtect es el más cercano al antivirus integrado que viene con cada Mac. Algunos incluso lo comparan Windows Defender para PC.

El servicio se basa en las reglas de YARA. YARA son las siglas de Yet Another Ridiculous Acrónimo, pero la idea detrás de esto no es divertida.

Básicamente, cada virus tiene una firma única (una cadena de bytes), y si el archivo los contiene, hay una alta probabilidad de que sea un virus específico. Este mecanismo lo emplean varios productos antimalware, incluidos ESET, Symantec, McAfee y Kaspersky.

Apple mantiene una lista de este tipo en XProtect.plist para la mayoría de los virus conocidos. El archivo se encuentra en System / Library / Core Services / CoreTypes. paquete / Contenidos / Recursos / ruta. Antes de iniciar cualquier aplicación, XProtect compara el contenido de los archivos con las reglas.

Por ejemplo, esta es una regla para KeRanger.

Descripción 
OSX.KeRanger.A
 LaunchServices  


LSItemContentType

com.apple.application-bundle

Partidos


MatchFile
NSURLTypeIdentifierKey public.unix-ejecutable
Tipo de concordancia
Partido
Patrón
488DBDD0EFFFFFBE00000000BA0004000031C04989D8 31F64C89E7 83F8FF7457C785C4EBFFFF00000000

KeRanger es bien conocido ransomware escrito específicamente para Apple.

Cuando XProtect verifica el contenido del archivo y encuentra la firma en la etiqueta "cadena" (488DBDD0EFFFFF….), mostrará algo como esto.

Cuando estaba probando programas maliciosos, descubrí que XProtect cubría muchos de los virus conocidos. Por ejemplo, iWorm y Snake, y XProtect no dejaron que se ejecutara en mi Mac Mini. En su lugar, se me recomendó moverlo a la Papelera.

XProtect Debilidades

Apple fue criticado a menudo por una reacción lenta cuando se trata de agregar virus a la lista. Por ejemplo, Apple tardó un año en incluir OSX / Snake (un virus troyano).

Compárelo con productos antimalware que actualizan sus bases de datos en días e incluso horas.

Por cierto, hablando de actualizaciones. Debe tener activadas las actualizaciones automáticas en su Mac para asegurarse de que XProtect obtenga las últimas actualizaciones.

  • Hacer eso, inicie Preferencias del sistema.
  • Vaya a Actualización de software.
    • Haga clic en el botón Avanzado.
      • Habilite la opción "Instalar archivos de datos del sistema y actualizaciones de seguridad" incluso si todas las demás casillas de verificación están desactivadas.

        Y, curiosamente, la base de datos de malware es independiente del sistema operativo.

        Por ejemplo, comparé la lista de firmas en High Sierra y Catalina, y los archivos eran absolutamente iguales. En otras palabras, no es necesario actualizar macOS para obtener las últimas actualizaciones para el antivirus integrado de Mac.

        Si está interesado, aquí está el comando para ejecutar en la aplicación Terminal: que devuelve la versión actual de las definiciones de XProtect:

     system_profiler SPInstallHistoryDataType |  grep -A 5 "XProtectPlistConfigData"  
    

    Cuando lo ejecuté en mi MacBook, devolvió lo siguiente:

    Versión: 2122 Fuente: Apple Fecha de instalación: 29/05/20, 8:52 a.m.

    No en tiempo real

    Otra debilidad de XProtect es que no un motor en tiempo real, que comprueba constantemente la RAM en busca de posibles amenazas. Al igual que GateKeeper, solo se activa cuando un usuario intenta iniciar la aplicación.

    Sin protección contra malware

    Probablemente sepa que la mayoría de los programas maliciosos ahora no son ejecutables independientes. La mayoría son programas publicitarios y otros programas no deseados.

    Por ejemplo, Safari puede ser inyectado con programas publicitarios, que mostrarán mensajes emergentes y seguirán redireccionando el tráfico a otros sitios.

    Depende de la bandera de cuarentena

    Cuando se obtiene un archivo descargado de Internet, macOS lo marca con el atributo de cuarentena de archivos. GateKeeper y XProtect funcionan basándose en este atributo de archivo.

    Por ejemplo, esto es lo que sucedió cuando intenté lanzar el virus LamePyre. LamePyre es un troyano que pretende ser una aplicación Discord, pero de hecho, toma capturas de pantalla de tu Mac y las envía a los hackers.

    Desde que descargué el malware de Internet, XProtect se detuvo que se inicie con el mensaje "No se puede abrir la aplicación porque no se puede verificar el desarrollador".

    El problema es que no todo el malware viene desde Internet. Hay otras formas de copiar los archivos. Además, se puede eliminar el indicador de cuarentena establecido en la descarga. Y lo hice, eliminé la bandera de cuarentena y volví a iniciar la aplicación.

    Esta vez no obtuve ningún error y el malware comenzó a ejecutarse en la barra de menú. E incluso pedí permiso para grabar mi pantalla.

    Y el último dato es muy importante al contestar la siguiente pregunta.

    ¿Necesita un antivirus en Mac?

    Ahora sabemos que el trabajo de GateKeeper es advertir al usuario en caso de que el desarrollador no esté en la lista blanca de Apple y la aplicación no haya sido manipulada por piratas informáticos.

    XProtect actúa como un simple antivirus y puede advertir contra el malware conocido. La pieza final es MRT.app, que supuestamente complementa a las otras dos y elimina el malware que no detectan. La aplicación tiene su propia base de datos, pero en la mayoría de los casos, es similar a la que viene con XProtect.

    La pregunta que la mayoría de la gente haría es la siguiente:

    Dado que Mac viene con tantos mecanismos de protección, que pueden caracterizarse como una solución antivirus incorporada, ¿realmente necesitamos invertir en ¿Cuál es el verdadero producto antimalware?

    Es difícil dar una respuesta única, así que aquí está mi

    Si solo instala programas de la App Store de Apple, nunca descargue hacks que deshabiliten GateKeeper (es posible), nunca abra correos electrónicos de personas desconocidas y nunca visite sitios web que parezcan sospechosos, entonces probablemente no necesita un antivirus.

    Por otro lado, si hace clic en cada URL, le gusta descargar e instalar nuevas aplicaciones, abra correos electrónicos con titulares como "Aquí está el mensaje de FedEx", deje que otras personas usen su MacBook, y así sucesivamente, verá el patrón. En este caso, sugeriría instalar un producto antimalware dedicado.

    Y si necesita una recomendación, probé más de una docena de productos AV contra más de 100 muestras de malware y aquí están los resultados:

    La mejor aplicación de detección de malware para Mac elimina 117 virus en 5 minutos