La société de sécurité britannique Intego a publié un mémo de sécurité qui fournit une vue claire et détaillée du nouveau système anti-virus XProtect d'Apple dans Snow Leopard.
Il existe plusieurs informations intéressantes: le nouveau système XProtect d'Apple ne peut pas reconnaître toutes les variantes des chevaux de Troie contre lesquels il est censé se protéger, par exemple.
De plus, le système XProtect ne détecte pas les chevaux de Troie cachés dans les fichiers .mpkg téléchargés depuis Internet, une faiblesse majeure, selon Intego. (Le programme d'installation d'Apple reconnaît deux types de fichiers: les fichiers .pkg pour les packages simples et les fichiers .mpkg qui contiennent plusieurs packages à installer.)
La note est manifestement égoïste — Intégo vend plusieurs packages antivirus et de confidentialité pour Mac - mais fournit néanmoins une vue claire et détaillée de ce que le nouveau système XProtect d'Apple fait - et ne fait pas.
Le mémo complet après le saut.
INTEGO SECURITY MEMO – 2 septembre 2009
Comment fonctionne la fonction anti-malware dans Snow Leopard d'Apple
Sommaire
• Apple a ajouté une fonction anti-malware à Mac OS X 10.6, Snow Leopard
• Cette fonction recherche uniquement les logiciels malveillants dans les fichiers téléchargés avec certaines applications
• La fonction anti-malware d'Apple ne recherche pas les logiciels malveillants lorsque les fichiers sont copiés dans le Finder, à partir de CD, DVD, clés USB ou volumes réseau
• La fonction anti-malware d'Apple ne recherche actuellement que deux chevaux de Troie
• Apple ne détecte pas toutes les variantes du cheval de Troie le plus courant
• La fonction anti-malware d'Apple n'analyse pas les packages d'installation des méta-paquets (.mpkg)
• La fonction anti-malware d'Apple ne répare pas les fichiers infectés ou les Mac infectés
• La fonction anti-malware d'Apple dans Snow Leopard n'offre pas aux utilisateurs de Mac une protection sérieuse contre les virus et les logiciels malveillants
Depuis que nous avons publié un article sur La nouvelle fonction anti-malware d'Apple dans Snow Leopard, un certain nombre de sources ont écrit sur la façon dont cela fonctionne. nous avons fourni une comparaison de la fonction anti-malware d'Apple et de VirusBarrier X5, décrivant certaines des fonctionnalités présentes (ou manquantes) dans la fonction d'Apple. Mais maintenant, nous aimerions examiner cette fonction plus en détail et décrire exactement comment elle fonctionne et ce qu'elle fait - et ne fait pas - pour protéger les Mac contre les logiciels malveillants.
Un certain nombre de sites Web ont appelé cette fonction « XProtect », en se basant sur le nom d'un fichier contenant les informations nécessaires au fonctionnement de cette fonction. Apple n'a donné à cette fonction aucun nom "officiel", nous nous en tiendrons donc à la banale "fonction anti-malware d'Apple". Le fichier Xprotect, appelé Xprotect.plist, se trouve dans /System/Library/CoreServices/CoreTypes.bundle/Contents/Resources/; il s'agit d'un emplacement plus ou moins caché (c'est à l'intérieur de CoreTypes.bundle, qui est un ensemble contenant principalement des icônes).
Mais il y a aussi un autre fichier dans ce bundle qui nous intéresse: il s'appelle Exceptions.plist, et il contient une liste de programmes qui sont affectés par la fonction anti-malware d'Apple. (Nous examinerons de près le contenu de ces deux fichiers ci-dessous.)
Alors, comment fonctionne cette fonction? Apple utilise une fonction de « quarantaine » depuis un certain temps dans Safari, Mail et iChat. Cette fonction détecte les fichiers téléchargés, reçus en tant que pièces jointes à des messages électroniques ou reçus lors de discussions, et définit un attribut étendu (données non visibles pour les utilisateurs) sur de tels fichiers contenant des informations sur le moment où un fichier a été téléchargé et avec lequel application. Voici à quoi ressemble un attribut étendu pour une image disque que nous avons téléchargée avec Safari :
com.apple.quarantine: 0000 ;4a9bc528 ;Safari.app; 2E402B0A-4A8B-4E0C- B51B-47DE7BD0361E|com.apple. Safari
(Notez que cet attribut étendu est ajouté à tous les fichiers reçus de la manière ci-dessus, mais la quarantaine la fonction ne regarde que certains types de fichiers, principalement les fichiers exécutables - applications ou scripts - et le programme d'installation paquets.)
Après avoir monté l'image disque, si vous double-cliquez sur un fichier exécutable ou un package d'installation à l'intérieur de l'image disque, la fonction de quarantaine détecte l'attribut étendu et le système affiche un avertissement :
Cela se produira également si vous téléchargez un exécutable ou un package d'installation dans une archive. Après avoir extrait l'exécutable et double-cliqué dessus, vous verrez l'avertissement ci-dessus.
Avec les logiciels malveillants, la nouvelle fonction d'Apple s'appuie sur ce système de quarantaine pour analyser le fichier à la recherche de logiciels malveillants et, s'il trouve quelque chose, le message suivant s'affiche :
Que recherche la fonction anti-malware d'Apple ?
Maintenant, nous allons regarder à l'intérieur du fichier XProtect.plist que nous avons mentionné plus tôt. En regardant ce fichier avec l'éditeur de liste de propriétés d'Apple, nous pouvons voir qu'il existe un grand total de deux types de logiciels malveillants répertoriés: le RSPlug. Un cheval de Troie et le cheval de Troie iServices.
Intego a découvert le premier dans Octobre 2007 et ce dernier en janvier de cette année. Il existe 17 variantes du cheval de Troie RSPlug et plusieurs variantes du cheval de Troie iServices actuellement à l'état sauvage.
Une question intéressante est de savoir si la fonction anti-malware d'Apple peut détecter toutes les variantes existantes du cheval de Troie RSPlug. Les chasseurs de virus d'Intego ont fait quelques tests et ont découvert que Apple ne peut détecter que 15 des 17 variantes du cheval de Troie RSPlug. Cela signifie que deux d'entre eux passeront par le réseau d'Apple. Il s'avère que Snow Leopard ne détecte pas le RSPlug. A ni le RSPlug. variantes C. En outre, La fonction anti-malware d'Apple identifie de manière incorrecte les variantes qu'elle trouve, car, dans tous les cas, l'alerte affichée pour toute variante de cheval de Troie RSPlug indique que le RSPlug. Une variante a été détectée.
Quant au cheval de Troie iServices, les choses se compliquent un peu. Ce cheval de Troie a été trouvé dans un logiciel piraté distribué via des sites BitTorrent. Pourtant, Apple ne signale pas les fichiers téléchargés avec les clients BitTorrent (voir ci-dessous). Ainsi, à moins que quelqu'un ne commence à distribuer ces images disque infectées d'iWork '09 et de Photoshop CS3 via des sites Web, la fonction anti-malware d'Apple ne détectera jamais les chevaux de Troie iServices.
Il faut noter une faiblesse majeure de ce système. Le programme d'installation d'Apple utilise deux types de fichiers d'installation: les fichiers .pkg et les fichiers .mpkg. Les premiers sont de simples fichiers de package et les seconds sont des fichiers de méta-package, qui contiennent plusieurs packages, souvent pour des installations contenant plusieurs éléments. Il s'avère que, lors de nos tests, La fonction anti-malware d'Apple ne détecte pas les logiciels malveillants contenus dans les fichiers .mpkg. Nous avons testé un certain nombre d'exemples de chevaux de Troie RSPlug dans des fichiers de méta-paquets, et aucune alerte n'a été affichée. Cependant, certains fichiers contenus dans les méta-paquets, lorsqu'ils sont ouverts seuls, déclenchent des alertes.
Quelles applications sont protégées ?
Nous avons mentionné ci-dessus qu'il existe un fichier appelé Exceptions.plist qui contient une liste de programmes pouvant utiliser la fonction anti-malware d'Apple.
Sous Additions, vous pouvez voir les identifiants des programmes que Snow Leopard surveille actuellement à la recherche de logiciels malveillants. Il existe des navigateurs Web: Internet Explorer, Firefox, OmniWeb 5, Opera, Shiira, Mozilla Navigator et Camino; et clients de messagerie: Entourage, Seamonkey et Thunderbird. (En plus de ces programmes, il y a Safari, Mail et iChat d'Apple, qui n'apparaissent pas dans le fichier; ils ont la clé LSFileQuarantineEnabled définie dans leurs fichiers info.plist. Toute application qui définit cette clé bénéficiera de la protection de quarantaine d'Apple, mais cela dépend des développeurs individuels.) Néanmoins, cela ne s'applique pas à tous les types de fichiers; pour l'instant, les applications et autres exécutables (tels que les scripts) sont signalés, tout comme les packages d'installation. Certains autres types de fichiers sont signalés, mais les chevaux de Troie se faisant passer pour des fichiers qui ne sont pas des applications peuvent se faufiler sur le net.
Notamment absents de cette liste sont les programmes de messagerie instantanée (tels que MSN, Adium et Skype), les clients de messagerie (PowerMail, Mailsmith, etc.), mais surtout, le grand nombre d'applications qui peuvent télécharger des fichiers autres que du Web. Aucun programme FTP n'est protégé, et aucun client BitTorrent ou autre programme peer-to-peer, les deux types étant des vecteurs courants d'infection.
Il convient de souligner que le Finder n'est pas protégé, de sorte que les fichiers copiés à partir de volumes réseau ou de supports amovibles (tels que des clés USB) ne sont pas du tout analysés. De plus, la fonction d'Apple ne peut ni réparer les fichiers infectés, ni réparer les dommages qui auraient pu être causés si un Mac est déjà infecté. En fait, dans ce dernier cas, Apple ne pourra même pas vous dire que votre Mac est infecté.
L'inconnu: les mises à jour des définitions de virus
Apple a déclaré que les mises à jour du fichier de définition de virus, XProtect.plist, seront fournies par son application de mise à jour logicielle, mais pas à quelle fréquence. Pour commencer, seuls deux chevaux de Troie figurent dans les définitions actuelles, ce qui est loin d'être suffisant compte tenu de l'étendue des malwares qui menacent les Mac. On ne sait pas si Apple attendra les mises à jour de sécurité pour mettre à jour ce fichier, ou s'il y aura des mises à jour séparées plus souvent (Apple publie des mises à jour de sécurité pour Mac OS X environ dix fois par an moyenne). Les antivirus commerciaux bénéficient de mises à jour fréquentes: dans le cas d'Intego, au moins deux fois par semaine, et plus souvent lors de la découverte de nouveaux malwares ou de nouvelles variantes.
En résumé
On peut voir qu'Apple a ajouté une fonction anti-malware très limitée à Snow Leopard. Non seulement il n'analyse que les fichiers d'une poignée d'applications, et seulement pour deux chevaux de Troie, mais il n'a même pas repéré toutes les variantes actuelles que nous avons testées. Il ne peut pas réparer les fichiers ou analyser votre Mac pour trouver des infections existantes. Il ne détecte pas les logiciels malveillants contenus dans les méta-paquets, ce qui rend très simple la distribution de logiciels malveillants qui contourneront la protection d'Apple. Il ne peut pas analyser les volumes réseau et il ne verra même pas les fichiers infectés copiés à partir d'un support amovible. En bref, la fonction anti-malware d'Apple dans Snow Leopard se distingue par le manque de protection sérieuse qu'elle offre aux utilisateurs de Mac.