نشرت شركة الأمن البريطانية Intego مذكرة أمنية توفر رؤية واضحة ومفصلة لنظام مكافحة الفيروسات الجديد XProtect من Apple في Snow Leopard.
هناك العديد من الحكايات المثيرة للاهتمام: لا يستطيع نظام XProtect الجديد من Apple التعرف على جميع متغيرات أحصنة طروادة التي من المفترض أن تحمي منها ، على سبيل المثال.
أيضًا ، لا يكتشف نظام XProtect أحصنة طروادة المخبأة داخل ملفات .mpkg التي تم تنزيلها من الإنترنت ، وهي نقطة ضعف رئيسية ، وفقًا لشركة Intego. (يتعرف مثبت Apple على نوعين من الملفات - ملفات .pkg للحزم البسيطة ، وملفات .mpkg التي تحتوي على حزم متعددة ليتم تثبيتها.)
المذكرة تخدم الذات بشكل واضح - انتيجو تبيع العديد من حزم مكافحة الفيروسات والخصوصية لنظام التشغيل Mac - ولكنها توفر مع ذلك عرضًا واضحًا ومفصلاً لما يفعله نظام XProtect الجديد من Apple - ولا يفعل ذلك.
المذكرة الكاملة بعد القفزة.
مذكرة أمان INTEGO - 2 سبتمبر 2009
كيف تعمل وظيفة مكافحة البرامج الضارة في Snow Leopard من Apple
ملخص
• أضافت Apple وظيفة مكافحة البرامج الضارة إلى نظام التشغيل Mac OS X 10.6 ، Snow Leopard
• تقوم هذه الوظيفة بالبحث عن البرامج الضارة فقط في الملفات التي تم تنزيلها باستخدام تطبيقات معينة
• لا تقوم وظيفة مكافحة البرامج الضارة من Apple بالمسح بحثًا عن البرامج الضارة عند نسخ الملفات في Finder ، أو من الأقراص المضغوطة أو أقراص DVD أو محركات أقراص USB المصغرة أو وحدات تخزين الشبكة
• تقوم وظيفة مكافحة البرامج الضارة من Apple حاليًا بمسح اثنين من أحصنة طروادة فقط
• لا تكتشف Apple جميع متغيرات أكثر أنواع حصان طروادة شيوعًا
• لا تقوم وظيفة مكافحة البرامج الضارة من Apple بفحص حزم مثبّت الحزمة الوصفية (.mpkg)
• لا تعمل وظيفة مكافحة البرامج الضارة من Apple على إصلاح الملفات المصابة أو أجهزة Mac المصابة
• لا توفر وظيفة مكافحة البرامج الضارة من Apple في Snow Leopard لمستخدمي Mac حماية جدية من الفيروسات والبرامج الضارة
منذ نشرنا مقالا عن وظيفة مكافحة البرامج الضارة الجديدة من Apple في Snow Leopard، كتب عدد من المصادر حول كيفية عمل ذلك. قدمنا مقارنة بين وظيفة مكافحة البرامج الضارة من Apple و VirusBarrier X5، مع تحديد بعض الميزات الموجودة (أو المفقودة) في وظيفة Apple. لكننا الآن نرغب في إلقاء نظرة على هذه الوظيفة بمزيد من التفصيل ، ووصف كيفية عملها بالضبط ، وما تفعله - وما لا تفعله - لحماية أجهزة Mac من البرامج الضارة.
أطلق عدد من مواقع الويب على هذه الوظيفة اسم "XProtect" ، بناءً على اسم الملف الذي يحتوي على المعلومات اللازمة لتشغيل هذه الوظيفة. لم تعط Apple هذه الوظيفة أي اسم "رسمي" ، لذلك سنلتزم فقط بـ "وظيفة مكافحة البرامج الضارة من Apple". تم العثور على ملف Xprotect ، المسمى Xprotect.plist ، في /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/ ؛ هذا موقع مخفي إلى حد ما (إنه داخل CoreTypes.bundle ، وهي حزمة تحتوي في الغالب على رموز).
ولكن هناك أيضًا ملف آخر في هذه الحزمة يثير اهتمامنا: يُدعى استثناءات.plist ، ويحتوي على قائمة بالبرامج المتأثرة بوظيفة مكافحة البرامج الضارة من Apple. (سنلقي نظرة فاحصة على محتويات كلا الملفين أدناه.)
إذن ، كيف تعمل هذه الوظيفة؟ تستخدم Apple وظيفة "العزل" لبعض الوقت في Safari و Mail و iChat. تظهر هذه الوظيفة عند تنزيل الملفات أو استلامها كمرفقات برسائل البريد الإلكتروني أو استلامها أثناء الدردشات وتعيين ملف السمة الموسعة (البيانات غير مرئية للمستخدمين) على هذه الملفات التي تحتوي على معلومات حول وقت تنزيل الملف وبواسطة تطبيق. إليك ما تبدو عليه إحدى السمات الموسعة لصورة قرص قمنا بتنزيلها باستخدام Safari:
com.apple.quarantine: 0000؛ 4a9bc528؛ Safari.app؛ 2E402B0A-4A8B-4E0C- B51B-47DE7BD0361E | com.apple. سفاري
(لاحظ أن هذه السمة الموسعة تتم إضافتها إلى جميع الملفات المستلمة بالطريقة المذكورة أعلاه ، لكن العزل تبحث الوظيفة فقط في أنواع معينة من الملفات ، خاصة الملفات القابلة للتنفيذ - التطبيقات أو البرامج النصية - والمثبت الحزم.)
بعد تثبيت صورة القرص ، إذا نقرت نقرًا مزدوجًا فوق ملف قابل للتنفيذ أو حزمة مثبت داخل صورة القرص ، فستقوم وظيفة العزل بتحديد السمة الموسعة وينبثق النظام تحذيرًا:
سيحدث هذا أيضًا إذا قمت بتنزيل حزمة قابلة للتنفيذ أو حزمة مثبت في أرشيف. بعد استخراج الملف القابل للتنفيذ والنقر فوقه نقرًا مزدوجًا ، سترى التحذير أعلاه.
مع البرامج الضارة ، تعمل وظيفة Apple الجديدة على دعم نظام العزل هذا لفحص الملف بحثًا عن البرامج الضارة ، وفي حالة العثور على أي شيء ، يتم عرض ما يلي:
ما الذي تبحث عنه وظيفة مكافحة البرامج الضارة في Apple؟
الآن علينا أن ننظر داخل ملف XProtect.plist الذي ذكرناه سابقًا. بالنظر إلى هذا الملف باستخدام محرر قائمة خصائص Apple ، يمكننا أن نرى أن هناك نوعين إجمالاً من البرامج الضارة المدرجة: RSPlug. حصان طروادة وحصان طروادة iServices.
اكتشف Intego الأول في أكتوبر 2007 والأخير في يناير من هذا العام. هناك 17 نوعًا مختلفًا من حصان طروادة RSPlug ، والعديد من المتغيرات من iServices حصان طروادة حاليًا في البرية.
أحد الأسئلة المثيرة للاهتمام هو ما إذا كانت وظيفة مكافحة البرامج الضارة من Apple يمكنها اكتشاف جميع المتغيرات الحالية لـ RSPlug Trojan horse. أجرى الباحثون عن الفيروسات في شركة Intego بعض الاختبارات ووجدوا ذلك يمكن لـ Apple اكتشاف 15 فقط من 17 نوعًا مختلفًا من حصان طروادة RSPlug. هذا يعني أن اثنين منهم سوف يمرون عبر شبكة Apple. اتضح أن Snow Leopard لا يكتشف RSPlug. A ولا RSPlug. المتغيرات C. بالإضافة الى، تحدد وظيفة مكافحة البرامج الضارة من Apple بشكل غير صحيح المتغيرات التي تعثر عليها ، لأنه في جميع الحالات ، يشير التنبيه المعروض لأي متغير من حصان طروادة RSPlug إلى أن RSPlug. تم اكتشاف متغير.
بالنسبة إلى iServices Trojan ، تصبح الأمور أكثر تعقيدًا بعض الشيء. تم العثور على حصان طروادة هذا في برنامج مقرصن تم توزيعه عبر مواقع BitTorrent. ومع ذلك ، لا تحدد Apple الملفات التي تم تنزيلها باستخدام عملاء BitTorrent (انظر أدناه). لذلك ، ما لم يبدأ شخص ما في توزيع صور القرص المصابة هذه لـ iWork ’09 و Photoshop CS3 عبر مواقع الويب ، فإن وظيفة مكافحة البرامج الضارة في Apple لن تكتشف أي أحصنة طروادة من iServices.
يجب أن نلاحظ وجود ضعف كبير في هذا النظام. يستخدم برنامج تثبيت Apple نوعين من ملفات التثبيت: ملفات .pkg وملفات .mpkg. الأولى عبارة عن ملفات حزم بسيطة ، والأخيرة عبارة عن ملفات حزم وصفية تحتوي على عدة حزم ، غالبًا للتثبيتات التي تحتوي على عناصر متعددة. اتضح أنه في اختباراتنا ، لا تكتشف وظيفة مكافحة البرامج الضارة من Apple البرامج الضارة الموجودة في ملفات .mpkg. اختبرنا عددًا من عينات حصان طروادة RSPlug في ملفات الحزمة الوصفية ، ولم يتم عرض أي تنبيهات. ومع ذلك ، فإن بعض الملفات الموجودة في الحزم الوصفية ، عند فتحها من تلقاء نفسها ، تطلق التنبيهات.
ما هي التطبيقات المحمية؟
ذكرنا أعلاه أن هناك ملفًا يسمى استثناءات.التي تحتوي على قائمة بالبرامج التي يمكنها استخدام وظيفة مكافحة البرامج الضارة من Apple.
ضمن الإضافات ، يمكنك رؤية معرفات البرامج التي يراقبها Snow Leopard حاليًا بحثًا عن البرامج الضارة. هناك متصفحات ويب: Internet Explorer و Firefox و OmniWeb 5 و Opera و Shiira و Mozilla Navigator و Camino ؛ وعملاء البريد الإلكتروني: Entourage و Seamonkey و Thunderbird. (بالإضافة إلى هذه البرامج ، هناك Safari و Mail و iChat الخاصة بشركة Apple ، والتي لا تظهر في الملف ؛ لديهم المفتاح LSFileQuarantineEnabled المعين في ملفات info.plist الخاصة بهم. أي تطبيق يقوم بتعيين هذا المفتاح سيستفيد من حماية العزل من Apple ، لكن الأمر متروك للمطورين الفرديين.) ومع ذلك ، هذا لا ينطبق على جميع أنواع الملفات ؛ في الوقت الحالي ، يتم وضع علامة على التطبيقات والملفات التنفيذية الأخرى (مثل البرامج النصية) ، وكذلك حزم المثبت. يتم وضع علامة على بعض أنواع الملفات الأخرى ، لكن أحصنة طروادة التي تتنكر كملفات ليست تطبيقات يمكن أن تتسلل عبر الشبكة.
من الملحوظ أن برامج المراسلة الفورية (مثل MSN و Adium و Skype) غير موجودة في هذه القائمة ، وعملاء البريد الإلكتروني (PowerMail و Mailsmith وما إلى ذلك) ، ولكن قبل كل شيء ، العدد الهائل من التطبيقات التي يمكنها تنزيل ملفات بخلاف من الويب. لا توجد برامج FTP محمية ، ولا يوجد عملاء BitTorrent أو برامج نظير إلى نظير ، وكلا النوعين من النواقل الشائعة للعدوى.
وتجدر الإشارة إلى أن Finder ليس محميًا ، لذلك لا يتم فحص الملفات المنسوخة من وحدات تخزين الشبكة أو الوسائط القابلة للإزالة (مثل محركات أقراص USB المصغرة) على الإطلاق. بالإضافة إلى ذلك ، لا يمكن لوظيفة Apple إصلاح الملفات المصابة أو إصلاح الأضرار التي قد تكون حدثت في حالة إصابة جهاز Mac بالفعل. في الواقع ، في هذه الحالة الأخيرة ، لن تتمكن Apple حتى من إخبارك بأن جهاز Mac الخاص بك مصاب.
المجهول: تحديثات تعريف الفيروسات
صرحت شركة Apple أن تحديثات ملف تعريف الفيروس ، XProtect.plist ، سيتم توفيرها من خلال تطبيق Software Update الخاص بها ، ولكن ليس عدد المرات. بادئ ذي بدء ، يوجد اثنان فقط من أحصنة طروادة في التعريفات الحالية ، وهي أبعد ما تكون عن كونها كافية نظرًا لمدى البرامج الضارة التي تهدد أجهزة Mac. ليس من الواضح ما إذا كانت Apple ستنتظر تحديثات الأمان لتحديث هذا الملف ، أو ما إذا كانت ستحدث تحديثات منفصلة في كثير من الأحيان (تصدر Apple تحديثات أمان لنظام التشغيل Mac OS X حوالي عشر مرات في السنة معدل). تستفيد برامج مكافحة الفيروسات التجارية من التحديثات المتكررة: في حالة Intego ، مرتين على الأقل في الأسبوع ، وفي كثير من الأحيان عند العثور على برامج ضارة جديدة أو متغيرات جديدة.
تلخيص لما سبق
يمكن ملاحظة أن شركة Apple قد أضافت وظيفة محدودة للغاية لمكافحة البرامج الضارة إلى Snow Leopard. فهو لا يقوم فقط بفحص الملفات من عدد قليل من التطبيقات ، وفقط لحصاني طروادة ، ولكنه لم يكتشف حتى جميع المتغيرات الحالية التي اختبرناها. لا يمكنه إصلاح الملفات أو فحص جهاز Mac الخاص بك للعثور على الإصابات الموجودة. لا يكتشف البرامج الضارة الموجودة في الحزم الوصفية ، مما يجعل من السهل جدًا توزيع البرامج الضارة التي ستتجاوز حماية Apple. لا يمكنه فحص وحدات تخزين الشبكة ، ولن يرى حتى الملفات المصابة المنسوخة من الوسائط القابلة للإزالة. باختصار ، تتميز وظيفة مكافحة البرامج الضارة من Apple في Snow Leopard بالافتقار إلى الحماية الجادة التي توفرها لمستخدمي Mac.