In che modo macOS "rileva il malware scaricato con Safari"?

Sul sito Web di Apple, la società fa questa affermazione sulle caratteristiche di sicurezza di macOS High Sierra:

Qualcuno può darmi maggiori dettagli sulla tecnologia che consente a macOS di determinare se un file scaricato con Safari è un malware? Sono solo curioso di vedere come si confronta con un antivirus (non è necessario iniziare una discussione sul motivo per cui è necessario o non è necessario un antivirus su Mac o in generale, per favore non per la millesima volta).

— MFJC
fonte

Fa parte del XProtect / schema di quarantena dei file integrato nel sistema operativo. macOS ha un elenco hard-coded di firme di file in /System/Library/CoreServices/XProtect.bundle/Contents/Resources/XProtect.plist. Se un file corrisponde a una delle firme, viene contrassegnato e messo in quarantena. L'elenco viene aggiornato silenziosamente, al di fuori del solito meccanismo di aggiornamento del software.

È effettivamente una lista nera molto rudimentale di malware noto. XProtect non fornisce una scansione attiva o una protezione euristica offerta da tipici prodotti antivirus.

— vykor
fonte

Grazie per la tua risposta ! Quindi, se un file viene scaricato sul computer tramite un attacco drive-by tramite uno script su un sito Web, ad esempio, XProtect non lo catturerà poiché esegue la scansione solo dei file scaricati volontariamente dall'utente?

— MFJC

AFAIK lo tiene traccia per applicazione di origine. Se il codice eseguibile proviene da un'app di quarantena (ad esempio, un browser come Safari), sia attraverso l'azione dell'utente o il download automatico drive-by, il download risultante viene contrassegnato. In genere, viene visualizzata una finestra di dialogo di avviso "& lt; AppName & gt; è un'applicazione scaricata da Internet" se non corrisponde a una voce di XProtect e qualcosa come "abbiamo bloccato questa finestra di dialogo" se corrisponde.

— vykor