XProtect - Apple behauptet, dass sie einen signaturbasierten Virenschutz anbieten, aber woher wissen wir das?

Ich habe auf dieser Apple Support-Seite gelesen , dass sie XProtect verwenden, um nach bekannten Viren zu suchen.

Ich kann keine Beweise dafür finden, dass XProtect neue Definitionen erhält oder irgendetwas scannt.

Wo finde ich die Protokolle und wenn sie in Unify sind, wie kann ich sie dann beibehalten?

Woher weiß ich, dass Apple wirklich nach bekannter Malware scannt und das nicht nur behauptet?

Ich kann den Wunsch verstehen, die Dinge selbst zu überprüfen, aber es gibt eine Menge Sicherheitsforscher, die den ganzen Tag damit verbringen, MacOS mit einem feinen Kamm zu untersuchen. Wenn Apple Sicherheitsbehauptungen machen würde, die nicht mit der Realität übereinstimmen, wäre dies in der gesamten Fachpresse zu finden.
@benwiggy Um dem OP gerecht zu werden, hat Apple in der Vergangenheit eine Sicherheitsfunktion mit großem Tamtam angekündigt und ein Jahr später in Vergessenheit geraten lassen. Beispielsweise wurden die Gatekeeper-Konfigurationsdaten seit über 2 Jahren nicht mehr aktualisiert und sind nicht mehr aktiv eclecticlight.co/2021/03/06/…
Meine Wirtschaftsprüfer, Kunden und der Vorstand brauchen mehr Informationen als „einfach Apple vertrauen“. Wir müssen zeigen, dass die Lösung auf allen Systemen funktioniert, aktualisiert und ausgeführt wird. Andernfalls muss ich möglicherweise eine Antivirenlösung eines Drittanbieters installieren, die für niemanden gut ist :-)

Antworten (2)

Diese Antwort ist eine Ergänzung zur Antwort von @jksoegaard, die zeigt, wie die Nutzung von XProtect gemeldet wird. Ich liefere die Beweise für Aktualisierungen von XProtect.

Systeminformationen zeigt alle Installationen im Zusammenhang mit XProtect. Hier sind meine, seit ich das letzte Mal gelöscht und neu installiert habe:

XProtect

Wenn Sie die Terminalausgabe bevorzugen, können Sie verwenden system_profiler -json SPInstallHistoryDataType, aber die Ausgabe muss weiter verarbeitet werden, um sie in eine handhabbare Form zu bringen. [Dank an @mustaccio dafür.]

Und ich weiß, dass es heute ein weiteres XProtect-Update gibt. Das berichtet Howard Oakleys SilentKnight

Stiller Ritter

Die Änderungen im heutigen Update werden hier besprochen XProtect Update

Dies zeigt mir, dass die Konfigurationsdaten aktualisiert werden und der Verlauf der Aktualisierungen. ps -ef | grep -i xprotect | grep -v grepzeigt mir an das es läuft. Wissen Sie, wie ich über das Terminal auf die Informationen in Software->Installationen zugreifen kann?
Nein, tut mir leid.
@Jonathan system_profiler -json SPInstallHistoryDataTypezum Beispiel.
@mustaccio Danke, ich habe deinen Kommentar in meine Antwort eingefügt.

Sie können die Protokolle finden, indem Sie Folgendes ausführen:

log show --predicate 'subsystem == "com.apple.xprotect"'

Um sie beizubehalten, können Sie sie einfach in einer Datei wie dieser speichern:

log show --predicate 'subsystem == "com.apple.xprotect"' > mylogs.txt

In diesem Ordner finden Sie die verschiedenen Sicherheitsdefinitionen von XProtect:

/Library/Apple/System/Library/CoreServices/XProtect.bundle/Contents/Resources/

Betrachten Sie zum Beispiel XProtect.plistund XProtect.yara. Wenn Sie sich selbst beweisen wollen, dass diese tatsächlich von Apple aktualisiert werden, machen Sie eine Kopie davon. Vergleichen Sie diese Kopie dann ein oder zwei Monate später mit Ihren Dateien.

Wenn Sie immer noch sehr misstrauisch sind, dass Apple vielleicht nur behauptet, nach Malware zu scannen, obwohl dies in Wirklichkeit nicht der Fall ist – selbst wenn dies die Erstellung gefälschter Dokumentation dafür, gefälschter Software dafür, gefälschter Definitionsdateien und gefälschter Update-Prozesse für die gleich - Sie können einfach selbst überprüfen, ob dies der Fall ist. Klingt, als wäre es fast mehr Arbeit für Apple, das Scannen nach Malware vorzutäuschen, als es tatsächlich zu tun – während ein erhebliches Risiko besteht, dass ein Systemexperte oder Programmierer sie aufdeckt. Macht keinen Sinn, aber wenn du wirklich willst - niemand hält dich auf.

Die Selbstüberprüfung kann Aktionen wie das absichtliche Einschleusen einer Malware-Datei (inaktiviert) in das System und das Überprüfen, ob XProtect sie erkennt, umfassen. Sie können auch eine Codeanalyse der XProtect-Binärdateien durchführen, um sicherzustellen, dass es das tut, was Apple sagt.

Möglicherweise möchten Sie das OP auf die EICAR-Testdatei verweisen - es handelt sich um eine kleine MS-DOS-Binärdatei, die harmlos ist (ihre einzige Aktion besteht darin, eine Zeichenfolge an die Konsole auszugeben), aber die meisten Antivirenanbieter schließen sie in ihre Definitionen ein, um ein sicheres Testen zu ermöglichen.
Ich sehe in diesen Protokollen weder den Aktualisierungsverlauf noch die aktuellen Scan-Ergebnisse. Verdammt, ich habe nichts in den Protokollen, die übereinstimmen - ich vermute, sie wurden bereits ausgespült. Gute Idee mit der EICAR-Testdatei @nanofarad.
@nanofarad wie würde ich das EICAR verwenden, um xprotect auszulösen - es ist keine Anwendungsbinärdatei, die Mac ausführen würde, und daher würde xprotect es nicht scannen, richtig?
@Jonathan Ich würde erwarten, dass ein kompetenter Malware-Scanner wahrscheinlich (aber nicht unbedingt) andere Dinge als native ausführbare Dateien für das lokale System scannt. Hier besteht immer noch die Möglichkeit eines falschen Negativs, aber wenn es erkannt wird, haben Sie Ihre Antwort, ohne etwas Umfassendes und Riskantes tun zu müssen.
@nanofarad Ich glaube nicht, dass XProtect vorgibt, ein Allzweck-AV-Scanner zu sein. Es konzentriert sich sehr stark auf bestimmte Arten von Mac-Malware. Ich bezweifle ernsthaft, dass es Eicar erkennen würde, noch dass wir es auch erwarten sollten. Oder haben Sie Beweise dafür (und ich liege falsch).
@nanofarad Hier ist ein Beweis, dass ich mich geirrt habe: /Library/Apple/System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.plisthat Bezug aufeicar.com
XProtect - Apple behauptet, dass sie einen signaturbasierten Virenschutz anbieten, aber woher wissen wir das?
AntwortenHierDatenschutz-Bestimmungen1y, 0v