Bereits seit rund 15 Jahren enthält das Mac-Betriebssystem eine Technologie namens XProtect, die Schadprogramme aller Art erkennen und entfernen kann. Apple versorgt XProtect regelmäßig mit aktualisierten Definitionen, um die Funktion an neu entdeckte bzw. modifizierte Malware anzupassen. Aber auch die Technik an sich wird beständig verfeinert. Laut Apple soll XProtect seit einiger Zeit auch "unbekannte Malware auf der Grundlage von Verhaltensanalysen" erkennen können.
Das geht aus einem von Apple aktualisierten Bericht zur Plattformsicherheit (PDF; Englisch) hervor. Darin heißt es: "Darüber hinaus enthält XProtect eine fortschrittliche Engine zur Erkennung unbekannter Malware auf der Grundlage von Verhaltensanalysen. Informationen über Malware, die von dieser Engine erkannt wurde, einschließlich der Software, die letztendlich für das Herunterladen der Malware verantwortlich war, wird dazu verwendet, um die XProtect-Signaturen und die macOS-Sicherheit zu verbessern."
Diese Passage ist neu und fehlte in der letzten Version des Plattformsicherheitsberichts. Wann die verbesserte XProtect-Engine implementiert wurde, bleibt unklar - wahrscheinlich im Laufe des vergangenen Jahres mit macOS Sonoma 14. Apple gibt sich generell sehr bedeckt in Sachen XProtect und macht nur rudimentäre Angaben zur Funktionsweise. Wie effektiv die Erkennung unbekannter Malware ist, wird letztlich nur Apple wissen.
Bild: Apple.
Sicherheitsexperten zufolge hat der Hersteller vor zwei bis drei Jahren damit begonnen, XProtect erheblich aufzuwerten, um das Sicherheitsniveau unter macOS schrittweise zu verbessern. So führt XProtect inzwischen nicht mehr nur nach einem Rechner-Neustart, sondern auch während des laufenden Betriebs Malware-Scans durch. Die nochmals verbesserte XProtect-Engine zur Erkennung bislang unbekannter Malware ist ein weiterer Meilenstein zur Verbesserung der Technologie.
Allerdings hat XProtect weiterhin Schwächen: Anwender werden nicht darüber informiert, wenn XProtect eine Schadsoftware erkannt und entfernt hat. Zwar werden die Resultate der XProtect-Scans im Systemlog aufgeführt, aber es fehlt eine grafische Benutzeroberfläche, die die Daten übersichtlich aufbereitet und eine Historie mitsamt Details zu erkannter Malware bietet.
Andererseits könnte die Malware-Industrie aus bereitgestellten Informationen ihrerseits Rückschlüsse ziehen und die Schädlinge eventuell leichter anpassen - dass Apple hier nicht noch unbeabsichtigte Hilfestellung leisten will, liegt auf der Hand. Dennoch wäre künftig etwas mehr Transparenz in macOS bezüglich XProtect wünschenswert.