Etlichen Mac-Anwendern dürfte das Programm KnockKnock des Sicherheitsforschers Patrick Wardle ein Begriff sein. KnockKnock überprüft im Rahmen eines manuellen Scans bekannte Standorte innerhalb von macOS, an denen möglicherweise Malware installiert ist. Noch einen Schritt weiter geht BlockBlock, das ebenfalls von Wardle bereitgestellt wird.
Wardle über KnockKnock: "Malware installiert sich dauerhaft, um sicherzustellen, dass sie bei jedem Neustart eines Computers automatisch ausgeführt wird. KnockKnock deckt dauerhaft installierte Software auf, um diese Malware generisch aufzudecken. [...] KnockKnock überprüft bekannte Standorte, an denen möglicherweise dauerhafte Software oder Malware installiert ist. Es listet einfach nur dauerhaft installierte Software auf. Obwohl signierte Apple-Binärdateien ausgefiltert werden, wird wahrscheinlich legitime Drittanbieter-Software angezeigt."
Während KnockKnock manuell vom Anwender gestartet werden muss, übernimmt BlockBlock die Überwachung im Hintergrund. "BlockBlock überwacht gängige Speicherorte und warnt, wenn eine persistente Komponente hinzugefügt wird", so Wardle. Für die Überwachung setzt BlockBlock auf Apples Endpoint Security Framework.
Bild: Patrick Wardle.
BlockBlock liegt auf Englisch vor und läuft native auf Apple-Silicon- und Intel-Macs. Sowohl BlockBlock als auch KnockKnock bieten sich als Ergänzung zu dem in macOS integrierten Malware-Schutz XProtect an. Anwender können sich dabei entscheiden, ob sie den Malware-Scan manuell durchführen (KnockKnock) oder automatisch im Hintergrund laufen lassen möchten (BlockBlock). Beide Programme gleichen Treffer mit der VirusTotal-Datenbank von Google ab.
Ein weiterer Unterschied: Aufgrund des Umstands, dass BlockBlock Apples Endpoint Security Framework verwendet, benötigt das Programm mindestens macOS Catalina 10.15. KnockKnock läuft hingegen auch auf ganz alten Rechnern ab OS X El Capitan 10.11.
Beide Anwendungen sind quelloffen, d. h. der Quellcode ist öffentlich einsehbar und via GitHub könnten Problemberichte und Verbesserungsvorschläge beim Entwickler eingereicht werden.