Вы используете устаревший браузер!

Страница может отображаться некорректно.

  • добавить в избранное
    Добавить в закладки

Big Sur, kexts и все-все-все

Прочитали: 18201 Комментариев: 34 Рейтинг: 67

18 декабря 2020

Сегодня продолжим тему работы антивируса в операционных системах macOS.

Для своей работы антивирус должен получать информацию об изменениях в контролируемой системе, в частности о загрузке файлов и старте программ. Уточним: о загрузке любых файлов и о старте всех без исключения программ. Никакая другая программа в системе не должна иметь возможность как-то перехватить эту информацию до получения ее антивирусом и отфильтровать ее – скажем, удалив данные о работе вредоносных программ.

До появления операционной системы macOS Big Sur эта задача выполнялась так же, как и в Windows – с помощью загрузки драйверов, которые в macOS называются system extensions (ранее kernel extensions или kexts) — расширение ядра системы. То есть антивирус с точки зрения операционной системы был расширением ее возможностей.

Однако, если загрузка драйверов разрешена, то их могут загрузить и не самые благонамеренные программы. Ведь загрузив их и получив доступ к ядру операционной системы, такие программы могут делать на вашем компьютере всё что угодно, от перехвата конфиденциальной информации до ее удаления.

С момента релиза macOS High Sierra версии 10.13 в 2017 году операционная система стала автоматически блокировать сторонние драйверы – пользователю показывалось уведомление «Заблокировано системное расширение», и возникла необходимость разрешать работу драйверов вручную.

До момента разрешения работы драйвера компонент антивируса не работает. Чтобы разрешить загрузку системных расширений, нужно было перейти в меню Apple (#drweb), выбрать Системные настройки и в них перейти в раздел Защита и безопасность, при необходимости сняв защиту (нажав иконку #drweb и введя имя пользователя и пароль). И нажать кнопку Разрешить рядом с сообщением о блокировке системного ПО от Doctor Web Ltd.

С марта 2020 года – с выпуском macOS Catalina версии 10.15.4 – операционная система начала предупреждать пользователей о том, что приложения, использующие системные расширения, будут «несовместимы с будущей версией macOS». Этой ОС и стала macOS Big Sur.

Она ограничила использование драйверов (полностью в версии для ARM64, частично в версии для процессоров Intel), предписав всем разработчикам использовать специальный программный интерфейс (API), который, по замыслу его создателей, должен обеспечить ту же функциональность, что давали драйверы.

Таким образом, антивирус превращается из системного приложения в пользовательское, которое при этом имеет доступ к определенному функционалу ядра системы.

Нововведения потребовали от компании «Доктор Веб» полностью переписать модули SpIDer Gate и SpIDer Guard, переделав всю схему перехвата трафика.

#антивирус #вредоносное_ПО #обновления_безопасности #терминология #уязвимость

Антивирусная правДА! рекомендует

На данный момент возможность использования API определяется компанией Apple. Предполагается, что никакие приложения, кроме доверенных, не смогут его использовать. Решит ли это проблему безопасности? Время покажет, станет ли API доступен злоумышленникам, но уже сейчас можно сказать, что как минимум одна лазейка осталась. Это уязвимости, которые могут быть в любом программном обеспечении и которые могут использовать киберпреступники. В связи с этим мы призываем не забывать обновлять используемое программное обеспечение – как минимум устанавливать обновления безопасности.

Оцените выпуск

Сделайте репост

Необходимо войти на страницу выпуска через аккаунт на сайте «Доктор Веб» (или создать аккаунт). Аккаунт должен быть связан с вашим аккаунтом в социальной сети. Видео о связывании аккаунта.


Нам важно ваше мнение

Чтобы оставить комментарий, нужно зайти через свой аккаунт на сайте «Доктор Веб». Если аккаунта еще нет, его можно создать.

Комментарии пользователей