XProtect: Apple afirma que hace antivirus basados ​​en firmas, pero ¿cómo lo sabemos?

Leí esta página de soporte de Apple que usan XProtect para buscar virus conocidos.

No puedo encontrar ninguna evidencia de que XProtect esté obteniendo nuevas definiciones o escaneando algo.

¿Dónde puedo encontrar los registros y, si está en Unify, cómo los conservo?

¿Cómo sé que Apple realmente escanea en busca de malware conocido y no solo hace esa afirmación?

Puedo entender el deseo de verificar las cosas por sí mismo, pero hay un montón de investigadores de seguridad que pasan todo el día revisando MacOS con un peine de dientes finos. Si Apple estuviera haciendo afirmaciones de seguridad que no coincidieran con la realidad, estaría en toda la prensa tecnológica.
@benwiggy Para ser justos con el OP, Apple tiene un historial de anunciar una función de seguridad con gran fanfarria y un año o dos después de dejarla caer en la oscuridad. Como ejemplo, los datos de configuración de Gatekeeper no se han actualizado en más de 2 años y ya no están activos eclecticlight.co/2021/03/06/…
Mis auditores, clientes y la junta directiva necesitan más información que "simplemente confiar en Apple". Tendremos que demostrar que la solución funciona, se actualiza y se ejecuta en el sistema de todos. De lo contrario, es posible que deba instalar una solución antivirus de terceros que no es buena para nadie :-)

Respuestas (2)

Esta respuesta se suma a la respuesta de @jksoegaard que muestra cómo informar sobre el uso en XProtect. Estoy proporcionando la evidencia con respecto a las actualizaciones de XProtect.

Información del sistema muestra todas las instalaciones relacionadas con XProtect. Aquí están los míos desde la última vez que borré y reinstalé:

xproteger

Si prefiere la salida de Terminal, puede usar system_profiler -json SPInstallHistoryDataType, pero la salida necesita un procesamiento adicional para que tenga una forma manejable. [Gracias a @mustaccio por esto.]

Y sé que hoy hay otra actualización de XProtect. Así lo informa SilentKnight de Howard Oakley

caballerosilencioso

Los cambios en la actualización de hoy se discuten aquí Actualización de XProtect

Esto me muestra que los datos de configuración están actualizados y el historial de actualizaciones. ps -ef | grep -i xprotect | grep -v grepme muestra que se está ejecutando. ¿Sabéis cómo puedo acceder a la información en Software->Instalaciones desde el terminal?
No, no lo hago, lo siento.
@Jonathan system_profiler -json SPInstallHistoryDataTypepor ejemplo.
@mustaccio Gracias, he insertado tu comentario en mi respuesta.

Puede encontrar los registros ejecutando:

log show --predicate 'subsystem == "com.apple.xprotect"'

Para conservarlos, simplemente puede guardarlo en un archivo, como este:

log show --predicate 'subsystem == "com.apple.xprotect"' > mylogs.txt

Puede encontrar varias definiciones de seguridad de XProtect en esta carpeta:

/Library/Apple/System/Library/CoreServices/XProtect.bundle/Contents/Resources/

Por ejemplo, mire XProtect.plisty XProtect.yara. Si quieres probarte a ti mismo que estos son realmente actualizados por Apple, toma una copia de ellos. Luego compare esa copia con sus archivos uno o dos meses después.

Si todavía tiene muchas sospechas de que tal vez Apple solo afirma escanear en busca de malware, cuando en realidad no lo hace, incluso cuando eso incluiría crear documentación falsa para él, software falso para él, archivos de definición falsos y procesos de actualización falsos para el mismo - puedes comprobar que lo hace por ti mismo. Parece que sería casi más trabajo para Apple falsificar el escaneo en busca de malware en lugar de hacerlo realmente, mientras corre un riesgo considerable de que cualquier experto en sistemas o programador los exponga. No tiene sentido, pero si realmente quieres, nadie te detendrá.

La verificación por sí mismo podría incluir acciones como introducir intencionalmente un archivo de malware (desactivado) en el sistema y verificar que XProtect lo detecte. También puede realizar un análisis de código en los archivos binarios de XProtect para asegurarse de que hace lo que Apple dice que hace.

Es posible que desee apuntar el OP al archivo de prueba EICAR : es un pequeño binario de MS-DOS que es benigno (su única acción es imprimir una cadena en la consola), pero la mayoría de los proveedores de antivirus incluyen en sus definiciones para permitir pruebas seguras.
No veo el historial de actualizaciones ni los resultados del análisis actual en estos registros. Diablos, no tengo nada en los registros que coincida, supongo que ya se han vaciado. Buena idea en el archivo de prueba EICAR @nanofarad.
@nanofarad, ¿cómo usaría EICAR para activar xprotect? No es una aplicación binaria que mac ejecutaría y, por lo tanto, xprotect no la escanearía, ¿correcto?
@Jonathan Espero que un escáner de malware competente probablemente (pero no necesariamente) escanee cosas que no sean ejecutables nativos para el sistema local. Todavía existe la posibilidad de un falso negativo aquí, pero si se detecta, entonces tiene su respuesta sin necesidad de hacer nada complicado y arriesgado.
@nanofarad No creo que XProtect pretenda ser un escáner av de propósito general. Está muy centrado en tipos específicos de malware para Mac. Dudo seriamente que detecte eicar, ni que debamos esperarlo también. ¿O tienes evidencia de que lo hace (y estoy equivocado).
@nanofarad Aquí hay evidencia de que estaba equivocado: /Library/Apple/System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.plisttiene referencia aeicar.com
XProtect: Apple afirma que hace antivirus basados ​​en firmas, pero ¿cómo lo sabemos?
RespuestasAquíPolítica de privacidad1y, 1v