Das in macOS integrierte Malware-Schutzsystem XProtect arbeitet vollautomatisch im Hintergrund und führt unter anderem nach dem Erhalt neuer Definitionen und während des laufenden Betriebs, meist in Zeiten geringer Systemauslastung, Scans auf bekannte Schadsoftware durch (und versucht sich laut Apple inzwischen auch an der Erkennung bislang unbekannter Malware). XProtect ist, Stand heute, jedoch sehr intransparent konzipiert - der Anwender erfährt praktisch nichts.
Etwas Licht ins Dunkel bringt das kostenfreie, ab macOS Catalina 10.15 lauffähige Programm XProCheck des Entwicklers Howard Oakley. XProCheck, in dieser Woche in der Version 1.6 mit Leistungsoptimierungen und weiteren Verbesserungen erschienen, stellt die Ergebnisse vergangener XProtect-Scans dar (via Auslesen des Systemlogs) und ermöglicht es zudem, einen manuellen Malware-Scan zu starten.
Oakley schreibt: "XProCheck ist eines meiner einzigartigen Dienstprogramme, meines Wissens die einzige Anwendung, die überprüft, ob Ihr Mac den XProtect Remediator (XPR) Anti-Malware-Scanner ausgeführt hat, und die Ergebnisse der Scans in allen Einzelheiten meldet.
XPR wird auf allen Macs mit Catalina oder höher installiert und führt normalerweise etwa alle 24 Stunden zwei Scans durch, einen als Benutzer und einen als root. Es enthält derzeit Scanning-Module für 22 verschiedene Arten von Malware und eines für diejenigen, die zuvor in den MRT-Checks enthalten waren. Die Scans erkennen nicht nur bekannte Malware, sondern versuchen auch, die entdeckte Malware zu entfernen ('remediate').
Bild: Howard Oakley.
Seltsamerweise meldet XPR die Entdeckungen oder Beseitigungen nicht an den Benutzer, sondern kann sie an Sicherheitssoftware von Drittanbietern melden, die Endpoint Protection (Ventura und höher) verwenden. Soweit mir bekannt ist, machen jedoch nur wenige Sicherheitsprodukte davon Gebrauch, so dass XProCheck die einzige Möglichkeit zur Überwachung der XProtect Remediator-Scans und -Berichte ist."
XProCheck liegt auf Englisch vor und richtet sich an erfahrene Nutzer, die etwas mehr Einblick in das XProtect-System erhalten möchten. Es ist keine einfach zu verstehende Software (siehe auch die der Anwendung beigefügte Hilfe-Datei) und bedarf etwas Einarbeitung. Vereinfacht gesagt: Solange XProCheck nirgends ein rotes Warnsymbol ausgibt, ist (höchstwahrscheinlich) alles in Ordnung.
Letztlich füllt XProCheck eine Lücke aufgrund von Apples standhafter Weigerung, das XProtect-System dem Anwender innerhalb von macOS offener zu präsentieren und nicht nur in via Web bereitgestellten PDFs oder Support-Dokumenten (die den wenigsten Nutzern geläufig sind) zu erklären. XProtect wurde in den letzten Jahren erheblich leistungsfähiger und Apple steckt enorme Ressourcen in dessen Weiterentwicklung - die an den Tag gelegte Intransparenz bleibt jedoch ein großer Kritikpunkt.
Wer möchte, kann als zusätzliches Sicherheitstool KnockKnock nutzen. KnockKnock führt ebenfalls manuelle Malware-Scans durch, nutzt aber einen anderen Ansatz (via Abgleich von persistent installierten Komponenten mit der VirusTotal-Datenbank).