I Mac non hanno un software anti-malware visibile incorporato, almeno non nello stesso modo in cui Microsoft lo fa con il software Defender di Windows, molto visibile. Ma Apple ha iniziato a includere protezioni anti-malware rudimentali nelle versioni di macOS con Snow Leopard nel 2009. Chiamato “XProtect”, questo servizio di sistema scaricava e installava nuove definizioni di malware in background tra i principali aggiornamenti di sicurezza di macOS, soprattutto per proteggere dall’installazione di malware noti e già in circolazione.
Da allora, Apple ha aggiunto a macOS diverse funzioni anti-malware, anche se non sono sempre contrassegnate in questo modo. Gatekeeper, la notarizzazione delle app, System Integrity Protection, il Volume di sistema firmato e i controlli di accesso per l’hardware e il software sono tutti strumenti che, in un modo o nell’altro, proteggono proattivamente i file di sistema dalla manomissione e assicurano che le app installate facciano ciò che dicono di fare. Un altro strumento “under-the-hood”, il Malware Removal Tool (MRT), agisce più come un tradizionale scanner anti-malware, ricevendo periodicamente gli aggiornamenti delle definizioni da Apple in modo da poter scansionare e rimuovere il malware già presente sul sistema.
Howard Oakley della Eclectic Light Company ha l’abitudine di tenere traccia degli aggiornamenti di XProtect e dell’MRT e gestisce diverse utility che controllano le versioni delle definizioni (oltre al firmware installato e ad altri aspetti esoterici del Mac che Apple aggiorna regolarmente ma di cui parla raramente). E dice che gli strumenti anti-malware di Apple hanno subito un cambiamento drastico, ma per lo più silenzioso, negli ultimi mesi.
Da quando è stato rilasciato l’aggiornamento 12.3 per macOS Monterey, sta seguendo una nuova funzione “XProtect.app” che è stata aggiunta a Monterey, Big Sur (11) e Catalina (10.15). Come indicato nella più recente documentazione di Apple sulla sicurezza della piattaforma, si tratta di un nome familiare per una nuova app che sostituisce il vecchio MRT. XProtect.app sembra eseguire la scansione del malware noto in modo molto più aggressivo rispetto a MRT.
“Negli ultimi sei mesi la protezione da malware di macOS è cambiata più di quanto non abbia fatto nei sette anni precedenti”, scrive Oakley. “Ora è diventata completamente preventiva, attiva come molti prodotti anti-malware commerciali, a condizione che il Mac sia dotato di Catalina o di una versione successiva”.
Sono arrivati iOS 15.4 e macOS 12.3 con Universal Control e molto altro ancora.
Esaminando l’attività dell’app XProtect su un Mac con la sospensione disattivata, Oakley ha determinato che esegue la scansione della maggior parte del malware noto per Mac almeno una volta al giorno “durante i periodi di scarsa attività dell’utente”. Ma può eseguire scansioni molto più frequenti e la frequenza di scansione sembra essere determinata caso per caso. Oakley ha osservato che XProtect esegue la scansione del malware DubRobber “ogni ora o due”. Al contrario, MRT è stato eseguito “di rado” e “in modo più evidente poco dopo l’avvio”.
In particolare, per gli utenti delle vecchie versioni di macOS, Apple a volte fornisce aggiornamenti per questi strumenti dietro le quinte molto tempo dopo aver smesso di fornire patch di sicurezza per macOS. Oakley afferma che le vecchie versioni di XProtect e MRT venivano aggiornate nelle versioni di macOS precedenti a El Capitan (10.11), rilasciato originariamente nel 2015.
Se da un lato questo significa che gli utenti di macOS Catalina dovrebbero beneficiare del nuovo strumento XProtect anche dopo la fine degli aggiornamenti di sicurezza, dall’altro sembra che il vecchio strumento MRT non venga più aggiornato su Mojave (10.14) e sulle versioni precedenti di macOS. Oakley fa risalire l’ultimo aggiornamento di MRT all’aprile 2022, poco dopo il rilascio di macOS 12.3 e della nuova app XProtect. Queste versioni di macOS erano già più vulnerabili rispetto alle versioni più recenti e completamente patchate, ma l’abbandono da parte di Apple del vecchio strumento MRT renderà l’aggiornamento ancora più importante per chi vuole mantenere i propri Mac sicuri.
