Apples neues XProtect

Freitag, 3. Juni 2011, 12.30 Uhr

Das Auftauchen von MacDefender hat für einigen Wirbel gesorgt. Bei MacDefender und seinen verschiedenen Varianten handelt es sich zwar nicht um Schadsoftware im engeren Sinn, sondern um Scareware, aber der Unterschied geht in der Berichterstattung und der gar nicht so stillen Schadenfreude, dass es nun auch Mac OS X und nicht immer nur Windows erwischt hat, anscheinend ein wenig unter.*

Apple hat auf MacDefender mit einem Update von XProtect reagiert (offizieller Name: File Quarantine). Das Quarantine-Feature wurde bereits mit Leopard eingeführt (dort warnt es generell beim Öffnen von Dateien aus dem Internet), XProtect kam mit Snow Leopard. Dabei werden Dateien, die via Safari, iChat oder Mail aus dem Netz geladen werden, mit einem Quarantine-Flag versehen. Sobald eine so markierte Datei geöffnet wird, überprüft Mac OS X, ob die Datei zu den in XProtect gespeicherten Malware-Signaturen passt, gibt gegebenenfalls eine Warnung aus und schiebt die Datei auf Wunsch in den Papierkorb. Andernfalls wird das Flag gelöscht.

Als Reaktion auf MacDefender hat Apple dieses rudimentäre Verfahren erweitert. Zum einen überprüft XProtect nun, ob MacDefender eventuell schon vorhanden ist (und löscht die Plage), zum anderen wird die Malware-Liste von XProtect nun alle 24 Stunden (und nicht wie bisher alle paar Monate) aktualisiert.

Wem automatische Updates nicht ganz geheuer sind, der kann sie unter Systemeinstellungen > Sicherheit > Allgemein deaktivieren (ich wüsste zwar nicht, warum man das tun sollte, aber bitte):

Screenshot Systemsteuerung > Sicherheit

Immerhin, einen kleinen Vorteil hat diese Option: Wer ein Update der Malware-Signaturen manuell auslösen will, der schaltet die Option aus und wieder ein und kann dann sicher sein, auf dem aktuellen Stand zu sein.

Wann die Malware-Liste zuletzt aktualisiert wurde und welche Malware erkannt wird, verrät ein Blick in die entsprechende Plist-Dateien, die allerdings (aus gutem Grund) ein wenig versteckt liegen:

  1. Rufen Sie System > Library > CoreServices auf.
  2. Klicken Sie die Datei CoreType.bundle mit der rechten Maustaste an.
  3. Wählen Sie Paketinhalt zeigen.
  4. Unter Content > Resources finden Sie die Datei XProtect.meta.plist. In dieser Datei steht das Datum der letzten Aktualisierung.

XProtect.meta.plist

Die Liste der aktuellen Malware-Signaturen finden Sie in der Datei XProtect.plist. Aktuell („Wed, 01 Jun 2011 21:19:15 GMT“) umfasst die Liste neun Einträge: „OSX.RSPlug.A“, „OSX.Iservice“, „OSX.HellRTS“ (3×), „OSX.OpinionSpy“, „OSX.MacDefender.A“, „OSX.MacDefender.B“ und „OSX.MacDefender.C“.

Mal sehen, wie lang die Liste in ein paar Monaten ist. (Mein Tipp: Nicht sehr viel länger. Wenn überhaupt.)


* Schadsoftware nutzt Fehler und Lücken im System aus, um etwa im Hintergrund heimlich Daten abzugreifen, oder es als Spamschleuder zu missbrauchen. Scareware tut nichts dergleichen, sondern setzt an dem Punkt an, an dem alle Systeme – ganz gleich, ob Linux, Mac OS X oder Windows – am fehleranfälligsten sind: beim Anwender. Scareware basiert nicht auf Technik, sondern auf Social Engineering und damit der Verunsicherung des Anwenders, den man dazu bringen will, sensible Daten wie etwa Bankverbindungen oder Kennwörter zu verraten.

Kommentar hinzufügen | Trackback.

Ein Kommentar zu Apples neues XProtect

snowleoparduser schreibt:
29. Juni 2013, 9.15 Uhr

Also Stand 16.06.2013 enthält die Datei 59 Einträge. Also kommen durchschnittlich 25 neue Einträge pro Jahr hinzu.

Ihr Kommentar