نظرًا لأن مدونتي تدور حول تبديد الخرافات حول منتجات Apple ، وأجهزة Mac ، على وجه الخصوص ، فإن أحد الموضوعات التي أكتب عنها كثيرًا هو البرامج الضارة على أجهزة Mac.
هذا بريد إلكتروني تلقيته أمس من أحد القراء:
مرحبًا ، اعتقدت دائمًا أن أجهزة Mac أقل عرضة للإصابة بالفيروسات ، والتعرض للاختراق ، وما إلى ذلك من أجهزة الكمبيوتر. هل هذا صحيح؟ ًشكراً جزيلا. KG "
بشكل عام ، البيان صحيح. في الواقع ، تقل احتمالية إصابة أجهزة Mac بالفيروسات عن أجهزة الكمبيوتر ، ولكن هذا لا يعني أنها لا تصاب بالفيروسات أبدًا. انظر ، على سبيل المثال ، إلى الإحصائيات من AV-Test.org.
من لقطة الشاشة ، يمكن للمرء أن يستنتج أنه على الرغم من وجود 1500 مرة من البرامج الضارة التي تم تطويرها لنظام التشغيل macOS مقارنة بنظام Windows في عام 2019 ، إلا أن الكمية لا تزال كبيرة جدًا لمجرد تجاهلها.
لذلك ، أثبتنا أن المتسللين يستهدفون أجهزة كمبيوتر Apple. السؤال الطبيعي التالي هو ما إذا كانت أجهزة Mac لديها أي أدوات مضمنة تمنع البرامج الضارة؟
على الرغم من أن أجهزة Mac لا تأتي مع تطبيقات مكافحة فيروسات مضمنة ، إلا أنها تتمتع بحماية من البرامج الضارة. أولاً ، يحاول GateKeeper في macOS منع تنزيل التطبيقات غير المصرح بها. ثم يمنع XProtect من تشغيل البرامج الضارة المعروفة. وأخيرًا ، تقوم أدوات إزالة البرامج الضارة بإزالة البرامج الضارة من الكمبيوتر.
هل تحصل أجهزة Mac على فيروسات
تتمتع أجهزة كمبيوتر Apple بتاريخ طويل في التعامل مع الفيروسات. في الواقع ، تمت كتابة أول فيروس على جهاز كمبيوتر شخصي لجهاز كمبيوتر Macintosh ، وكان يسمى Elk Cloner.
جاء التصور بأن أجهزة Mac لا تحتوي على فيروسات من حقيقة أن أجهزة الكمبيوتر أكثر انتشارًا ، وأن المتسللين يحاولون تعظيم الضرر الذي يتسببون فيه. لذلك ، من المتوقع أن المتسللين كانوا يستهدفون في الغالب أجهزة الكمبيوتر لأن هناك أجهزة كمبيوتر أكثر 100 مرة من أجهزة MacBooks.
نظرًا لأن Apple تحب التحكم في كل شيء ، من الأجهزة إلى البرامج ، فإن فرص تنزيل البرامج الضارة ضئيلة إلى حد ما ، ولكنها ليست معدومة.
إليك كيفية وصف Apple للبرامج الضارة:
لحسن الحظ ، تدرك Apple التهديد ، وقد طورت منهجًا ثلاثي الأبعاد لمكافحته.
ما هو GateKeeper على نظام Mac
خط الدفاع الأول على جهاز Mac الخاص بك هو GateKeeper. عند تشغيل التطبيق لأول مرة ، يحاول GateKeeper التحقق من معلومات المطور.
هناك العديد من السيناريوهات المحتملة بناءً على كيفية توزيع التطبيق.
متجر التطبيقات
يعد متجر التطبيقات طريقة مفضلة لنشر التطبيقات. إذا أرسل المطور برنامجه إلى App Store ، فستتأكد Apple من خلو التطبيق من أي شيء يمكن أن يضر المستخدمين ، بما في ذلك الفيروسات أو سرقة بيانات المستخدم.
لا يسلك جميع المطورين هذا المسار ، وهناك عدة أسباب.
أولاً ، إذا تم دفع التطبيق ، فستأخذ Apple جزءًا من المبيعات. لذا ، فإن تجاوز متجر التطبيقات يسمح للمطور بالحفاظ على سعر التطبيق منخفضًا للمستخدمين النهائيين.
ثانيًا ، تقتصر التطبيقات التي يتم تنزيلها من App Store على ما يسمى بـ Sandbox. هذا يعني أن الوصول إلى موارد الأجهزة والنظام محدود. يعمل هذا بشكل جيد مع برامج تحرير النصوص مثل Microsoft Word ولكنه لا يعمل مع الأدوات المساعدة مثل منظفات الأقراص وحلول مكافحة البرامج الضارة.
ولكن المحصلة النهائية هي أنه إذا كنت تقوم بتنزيل التطبيقات فقط من App Store ، فإن جهاز Mac الخاص بك يكون آمنًا.
المطورون المحددون
لا يُجبر مطورو التطبيقات على نشر برامجهم عبر متجر التطبيقات. إذا اشتركوا في برنامج مطوري Apple ووقعوا على تطبيقاتهم بتوقيع صالح ، فسيتم التعرف عليهم كمطورين معرّفين.
هذه هي طريقة Apple للقول ، "نحن نعرف هذا المطور ونثق به". على سبيل المثال ، يمكن تنزيل Google Chrome من موقع الويب الخاص بهم ، ويعتبر Google مطورًا محددًا.
في هذه الحالة ، وظيفة GateKeeper هي معرفة ما إذا كان التطبيق قد أتى من المطور المحدد. وإذا لم يكن الأمر كذلك ، فإن GateKeeper سيمنع تشغيل التطبيق.
التصديق
بدءًا من macOS Mojave ، وضعت Apple قواعد أكثر صرامة وطالبت المطورين بتوثيق تطبيقاتهم (https://support.apple.com/en-us/HT202491). هذا يعني أنه يتعين على المطورين إرسال كل بناء جديد إلى خدمة التوثيق التلقائي ، والتي ستوفر تذكرة يمكن إرفاقها بالملف. تضمن هذه التذكرة أن التطبيق جاء من مطور معروف ، ولم يتم العبث بالملف (كما تعلم ، غالبًا ما يتم إرفاق الفيروسات ببرامج شرعية). مرة أخرى ، هذه مهمة حارس البوابة للتحقق من كل هذا.
مطورو مجهولون
لم يختار جميع المطورين الخوض في العمليات الموضحة أعلاه. على سبيل المثال ، إذا أنشأ صديقك تطبيقًا ، فلا يزال من الممكن تثبيته على جهاز الكمبيوتر الخاص بك. أو يمكن للمتسلل إرفاق برامج ضارة بالبريد الإلكتروني. سيقوم GateKeeper بحظر مثل هذه التطبيقات. هناك حلول ، وقد وصفتها هنا.
وبما أنه يمكن تجاوز GateKeeper ، فإن خط الدفاع التالي هو XProtect.
ما هو XProtect على نظام التشغيل Mac
XProtect هو الأقرب إلى برامج مكافحة الفيروسات المضمنة التي تأتي مع كل جهاز Mac. حتى أن البعض يشبهه Windows Defender لأجهزة الكمبيوتر.
الخدمة مبنية على قواعد YARA. يرمز YARA إلى اختصار آخر مثير للسخرية ، لكن الفكرة الكامنة وراءه ليست مضحكة.
بشكل أساسي ، لكل فيروس توقيع فريد (سلسلة من البايتات) ، وإذا كان الملف يحتوي عليها ، فهناك احتمال كبير أنه فيروس معين. يتم استخدام هذه الآلية في العديد من منتجات مكافحة البرامج الضارة ، بما في ذلك ESET و Symantec و McAfee و Kaspersky.
تحتفظ Apple بمثل هذه القائمة في XProtect.plist لمعظم الفيروسات المعروفة. يوجد الملف ضمن System / Library / Core Services / CoreTypes. حزمة / المحتويات / الموارد / المسار. قبل تشغيل أي تطبيق ، يقارن XProtect محتويات الملفات بالقواعد.
على سبيل المثال ، هذه قاعدة لـ KeRanger.
<key>Description</key>
<string>OSX.KeRanger.A</string>
<key>LaunchServices</key>
<dict>
<key>LSItemContentType</key>
<string>com.apple.application-bundle</string>
</dict>
<key>Matches</key>
<array>
<dict>
<key>MatchFile</key>
<dict>
<key>NSURLTypeIdentifierKey</key>
<string>public.unix-executable</string>
</dict>
<key>MatchType</key>
<string>Match</string>
<key>Pattern</key>
<string>488DBDD0EFFFFFBE00000000BA0004000031C04989D8*31F64C89E7*83F8FF7457C785C4EBFFFF00000000</string>
</dict>
</array>
KeRanger هو برنامج فدية معروف تم كتابته خصيصًا لشركة Apple.
عندما يتحقق XProtect من محتويات الملف ويجد التوقيع تحت علامة "سلسلة" (488DBDD0EFFFFF….) ، فإنه سيعرض شيئًا كهذا.
عندما كنت أقوم باختبار البرامج الضارة ، وجدت أن برنامج XProtect يغطي العديد من الفيروسات المعروفة. على سبيل المثال ، iWorm و Snake ، ولم يسمح XProtect بتشغيله على جهاز Mac Mini. بدلاً من ذلك ، تم نصحي بنقله إلى المهملات.
نقاط ضعف XProtect
غالبًا ما تعرضت شركة Apple لانتقادات بسبب رد فعلها البطيء عندما يتعلق الأمر بإضافة فيروسات إلى القائمة. على سبيل المثال ، استغرق الأمر عامًا لشركة Apple لتضمين OSX / Snake (فيروس حصان طروادة).
قارنها بمنتجات مكافحة البرامج الضارة التي تقوم بتحديث قواعد بياناتها في أيام وحتى ساعات.
بالمناسبة ، تحدث عن التحديثات. يجب أن يكون لديك تحديثات تلقائية قيد التشغيل على جهاز Mac للتأكد من حصول XProtect على آخر التحديثات.
- للقيام بذلك ، ابدأ "تفضيلات النظام".
- انتقل إلى تحديث البرنامج.
- انقر فوق الزر "خيارات متقدمة".
- قم بتمكين خيار "تثبيت ملفات بيانات النظام والتحديثات الأمنية" حتى إذا تم إيقاف تشغيل جميع مربعات الاختيار الأخرى.
ومن المثير للاهتمام أن قاعدة بيانات البرامج الضارة مستقلة عن نظام التشغيل.
على سبيل المثال ، قارنت قائمة التوقيعات في High Sierra و Catalina ، وكانت الملفات متطابقة تمامًا. بمعنى آخر ، ليست هناك حاجة لترقية macOS للحصول على آخر التحديثات لبرنامج مكافحة الفيروسات المدمج في Mac.
إذا كنت مهتمًا ، فإليك الأمر للتشغيل في تطبيق Terminal ، والذي يعرض الإصدار الحالي من تعريفات XProtect:
system_profiler SPInstallHistoryDataType | grep -A 5 "XProtectPlistConfigData"
عندما قمت بتشغيله على جهاز MacBook الخاص بي ، أعاد ما يلي:
الإصدار:2122
المصدر:أبل
تاريخ التثبيت:5/29/20 ، 8:52 ص
ليس في الوقت الحقيقي
نقطة ضعف أخرى في XProtect هي أنه ليس محركًا في الوقت الفعلي ، يقوم بفحص ذاكرة الوصول العشوائي باستمرار بحثًا عن التهديدات المحتملة. تمامًا مثل GateKeeper ، يتم تشغيله فقط عندما يحاول المستخدم تشغيل التطبيق.
لا توجد حماية من البرامج الضارة
ربما تعلم أن معظم البرامج الضارة الآن ليست ملفات قابلة للتنفيذ قائمة بذاتها. الغالبية هي برامج إعلانية وبرامج أخرى غير مرغوب فيها.
على سبيل المثال ، يمكن حقن Safari ببرامج إعلانية ، والتي ستظهر الرسائل وتواصل إعادة توجيه حركة المرور إلى مواقع أخرى.
يعتمد على علامة العزل
عندما يتم تنزيل أي ملف من الإنترنت ، يقوم macOS بتمييزه بسمة عزل الملف. يعمل كل من GateKeeper و XProtect على أساس سمة الملف هذه.
على سبيل المثال ، هذا ما حدث عندما حاولت إطلاق فيروس LamePyre. LamePyre هو حصان طروادة يتظاهر بأنه تطبيق Discord ، ولكنه في الواقع يأخذ لقطات شاشة لجهاز Mac الخاص بك ويرسلها إلى المتسللين.
منذ أن قمت بتنزيل البرنامج الضار من الإنترنت ، أوقف XProtect تشغيله برسالة لا يمكن فتح التطبيق لأنه لا يمكن التحقق من المطور. "
تكمن المشكلة في أنه ليست كل البرامج الضارة تأتي من الإنترنت. هناك طرق أخرى لنسخ الملفات. علاوة على ذلك ، يمكن إزالة علامة العزل التي تم تعيينها عند التنزيل. وفعلت ذلك ، أزلت علامة العزل وبدأت التطبيق مرة أخرى.
هذه المرة لم أحصل على أي أخطاء ، وبدأ تشغيل البرامج الضارة في شريط القوائم. وحتى طلب الإذن لتسجيل شاشتي.
والحقيقة الأخيرة مهمة جدًا عند الإجابة على السؤال التالي.
هل تحتاج إلى مضاد فيروسات على نظام Mac؟
نحن نعلم الآن أن مهمة GateKeeper هي تحذير المستخدم في حالة عدم وجود المطور في القائمة البيضاء لشركة Apple ، وعدم العبث بالتطبيق من قبل المتسللين.
يعمل برنامج XProtect كمضاد فيروسات بسيط ويمكنه التحذير من البرامج الضارة المعروفة. القطعة الأخيرة هي MRT.app ، والتي من المفترض أن تكمل المقطعين الأخريين وتزيل البرامج الضارة التي فاتها. يحتوي التطبيق على قاعدة بيانات خاصة به ، ولكنه في معظم الحالات يشبه القاعدة التي تأتي مع XProtect.
السؤال الذي يطرحه معظم الناس هو التالي:
نظرًا لأن Mac يأتي مزودًا بالعديد من آليات الحماية ، والتي يمكن وصفها بأنها حل مضمّن لمكافحة الفيروسات ، فهل نحتاج حقًا إلى الاستثمار في المنتج الحقيقي لمكافحة البرامج الضارة؟
من الصعب إعطاء إجابة مقاس واحد يناسب الجميع ، لذا فإليك رأيي.
إذا قمت فقط بتثبيت برامج من Apple App Store ، فلا تقم مطلقًا بتنزيل برامج الاختراق التي تعطل GateKeeper (هذا ممكن) ، ولا تفتح رسائل البريد الإلكتروني الواردة من أشخاص مجهولين أبدًا ولا تزور مواقع الويب المشبوهة مطلقًا ، فربما لا تحتاج إلى برنامج مكافحة فيروسات.
من ناحية أخرى ، إذا نقرت على كل عنوان URL ، مثل تنزيل تطبيقات جديدة وتثبيتها ، فافتح رسائل البريد الإلكتروني التي تحتوي على عناوين مثل "هذه الرسالة من FedEx" ، والسماح للآخرين باستخدام MacBook الخاص بك ، وهكذا ، سترى النمط. في هذه الحالة ، أقترح تثبيت منتج مخصص لمكافحة البرامج الضارة.
وإذا كنت بحاجة إلى توصية ، فقد اختبرت أكثر من عشرة منتجات للمركبات مقابل أكثر من 100 عينة من البرامج الضارة وإليك النتائج:
أفضل تطبيق للكشف عن البرامج الضارة لنظام التشغيل Mac يزيل 117 فيروسًا في 5 دقائق
