Mac-security

Zo werkt de standaard antivirussoftware in macOS

Hoe werkt de anti-malwaresoftware op je Mac? Tegen welke gevaren ben je wel en niet beschermd? In deze gids bekijken we de ingebouwde antivirussoftware in OS X.

Als je van een Windows-laptop de overstap maakt naar een Mac, ben je misschien geneigd om een antivirusprogramma te installeren. Veel gebruikers weten namelijk niet dat macOS standaard een beveiligingsprogramma heeft, dat zich goed verborgen houdt. In deze gids lees je alles over de ingebouwde antivirus- en malwaretools die al sinds 2009 aanwezig zijn in OS X en macOS.


Mac-security

Antivirussoftware op de Mac

Op pc’s vind je De Windows Defender, dat prominent zichtbaar is in Windows 8 en Windows 10. Op de Mac zijn soortgelijke programma’s aanwezig die je beschermen tegen malafide software op internet. Deze software is echter zo goed verborgen, dat je misschien niet eens van het bestaan af weet. Toch is het belangrijk om te weten wat je Mac precies doet tegen virussen en andere malware, zodat je het bijvoorbeeld niet per ongeluk uitschakelt.

Als we in dit artikel spreken over malware, dan bedoelen we virussen, wormen, trojans, phishing en andere bedreigingen die je op internet tegenkomt. Malware is de algemene benaming voor al deze gevaren. Veel mensen gebruiken nog de term virus, vandaar dat we in dit artikel de term ook regelmatig gebruiken.

Antivirus: moet ik zelf iets doen?

De bescherming tegen malware is op elke Mac aanwezig en staat standaard ingeschakeld. Je hoeft dus niets te doen. Nieuwe malware-definities worden automatisch opgehaald. Je hoeft dus als gebruiker geen stappen te ondernemen. Het enige wat je hoeft te doen, is verstandig omgaan met de waarschuwingen die je krijgt. Als je alleen software downloadt uit de App Store en van gerespecteerde ontwikkelaars, is de kans klein dat je ooit iets merkt van de antivirus- en malwaretools op de Mac. Ze doen achter de schermen hun werk. Heb je aanvullende virusscanners voor de Mac nodig? Dat ligt vooral aan je eigen gedrag. In een apart artikel bespreken we de nut en noodzaak van antivirus op de Mac.

Hoe werkt antivirus op de Mac?

We bespreken hieronder de standaardtools die al in macOS aanwezig zijn. Zo is er bijvoorbeedl XProtect, dat in feite bestaat uit een lijst met malware-definities. XProtect is onderdeel van File Quarantine, dat we hieronder ook zullen bespreken. Heb je wel eens software van internet gedownload, dan heb je File Quarantine en de bijbehorende GateKeeper in actie gezien.

File Quarantine checkt of de software voorkomt in de lijst met malware-definities in de lijst van XProtect. Zo ja, dan krijg je een waarschuwing te zien dat de software je computer kan beschadigen. Ook krijg je te zien om welke malware het gaat, zodat je kunt kijken of het virus recent in het nieuws is geweest.

Een andere beveiligingstechniek op de Mac is de Gatekeeper. Deze is sinds OS X 10.8 (Mountain Lion) aanwezig op de Mac en voorkomt dat je zomaar software van onbekende partijen kunt installeren.

XProtect: de lijst met malware-definities

XProtect is een lijst met malware-definities die regelmatig door Apple wordt bijgewerkt. Je kunt het beschouwen als een zwarte lijst van kwaadaardige software. Het is mogelijk om deze lijst met definities van malware zelf in te zien, al moet je hiervoor wel even door de instellingen graven. Voor de geïnteresseerden kun je onderstaande stappen volgen.

Bekijk Apple’s lijst met gevaarlijke software

  1. Kies de harde schijf van je Mac en selecteer Systeem.
  2. Open de map Bibliotheek
  3. Scroll naar beneden en kiest de map CoreServices
  4. Zoek CoreTypes en selecteer Toon pakketinhoud
  5. Klik nu op het mapje met Resources.
  6. Scroll helemaal naar beneden en open het bestand XProtect.plist

XProtect-lijst

Je kunt deze lijst openen en kijken welke kwaadaardige apps in de lijst staan. Hieronder zie je bijvoorbeeld de definitie voor XcodeGhost, malware die zich voordeed als Apple’s eigen ontwikkelaarstool Xcode. Daardoor konden hackers kwaadaardige code in apps verstoppen. De definitie ziet er als volgt uit:

Xprotect definitie XcodeGhost

Nieuwe malware-definities ophalen

XProtect is een zogenaamd .plist-bestand. Dit is een bestand in platte tekst-formaat, dat je met een gewone teksteditor kunt bekijken. Voorheen kon je de lijst handmatig laten bijwerken door te bladeren naar:  > Systeemvoorkeuren > Beveiliging > Werk lijst voor veilige downloads automatisch bij. Tegenwoordig wordt dit geregeld via de App Store-instellingen:

  1. Ga naar  > Systeemvoorkeuren > App Store.
  2. Zorg dat dit vakje is aangevinkt: Installeer systeembestanden en beveiligingsupdates.

Je kunt dit uitschakelen. De Mac zal dan niet langer het XProtect-bestand met de nieuwste malware-definities van Apple downloaden. We adviseren om het vakje ingeschakeld te houden.

App Store plist-bestand

Tip: je kunt op deze pagina bij Apple zien of er security-updates voor macOS en andere Apple-producten zijn.

Hoe goed is XProtect?

Normale anti-malwaresoftware werkt vaak op twee manieren: ze gebruiken een lijst met malware-definities en letten op verdacht gedrag op basis van eerdere ervaringen (zogenaamde heuristics). XProtect doet alleen het eerste: kijken of er kwaadaardige bestanden aanwezig zijn die aan de definities voldoen. Dit is ook meteen de beperking.

Nadelen van XProtect

XProtect is een eenvoudige oplossing, maar is niet waterdicht.

  • Op het moment dat nieuwe malware verschijnt, staat de definitie nog niet in XProtect. Je bent een bepaalde tijd onbeschermd, totdat Apple de definitie opneemt.
  • Ook al gaat het bijwerken automatisch, er zit altijd wat tijd tussen het moment dat Apple de defintie opneemt en het moment dat jij de update installeert. In die periode ben je ook onbeschermd.
  • Apple probeert zoveel mogelijk malware-definities op te nemen, maar de lijst is nooit compleet omdat er zo onnoemlijk veel varianten van malware zijn. Er staan enkele tientallen definities in.
  • XProtect helpt om de malware te herkennen, maar zorgt niet voor het opruimen van bestaande infecties.
  • XProtect bevat nog nauwelijks definities van adware, terwijl dat wel steeds meer toeneemt op macOS.

GateKeeper

GateKeeper is sinds 2012 (OS X 10.7.5 Lion) aanwezig op de Mac en zorgt ervoor dat je alleen bepaalde apps mag installeren. In de Beveiligingsinstellingen van je Mac kun je zelf kiezen hoe streng je dit zogeheten Gatekeeper-filter wilt hebben.

Dit doe je zo:

Welke gedownloade bestanden zijn toegestaan door Gatekeeper?

  1. Klik op het Apple-logo in de linker bovenhoek van je scherm.
  2. Kies Systeemvoorkeuren en selecteer daarna Beveiliging en Privacy.
  3. Klik eventueel op het hangslot en voer je wachtwoord in om de instellingen te kunnen wijzigen.
  4. Bij de menu-optie Sta programma’s toe die zijn gedownload bij kun je aangeven welke software geïnstalleerd mag worden op je Mac.

Beveiliging-apps-toestaan

Hier kun je ervoor kiezen om alleen apps toe te staan die direct uit de Mac App Store van Apple afkomstig zijn. Je kunt ook toestemming geven voor apps van gerenommeerde ontwikkelaars. Dit zijn ontwikkelaars die door Apple zijn goedgekeurd. Tot slot kun je ervoor kiezen dat elke willekeurige bron toestemming krijgt om programma’s te installeren. Je Mac kiest automatisch voor de tweede optie, wat voor veel gebruikers de meest gangbare zal zijn. Veel meer informatie over het gebruik van GateKeeper lees je in onderstaand artikel.

Verschil tussen GateKeeper en File Quarantine

GateKeeper bouwt voort op File Quarantine, dat al sinds 2009 (OS X Snow Leopard) op de Mac aanwezig is. GateKeeper en File Quarantine controleren allebei of je bepaalde software mag installeren, maar ze doen dit op een verschillende manier. GateKeeper werkt met een witte lijst, om te kijken welke software van goedgekeurde ontwikkelaars is toegestaan. File Quarantine werkt met een zwarte lijst, om boosaardige software buiten de deur te houden.

File Quarantine

File Quarantine is een overkoepelend beveiligingsprogramma waar XProtect deel van uitmaakt. Zodra je iets downloadt van het internet vergelijkt File Quarantine het programma met de zwarte lijst in XProtect, om te zien of het mogelijk schadelijke software bevat. Een potentieel gevaarlijk programma wordt in quarantaine geplaatst en kan daar alleen met jouw toestemming uit worden gehaald.

Deze lijst moet natuurlijk regelmatig bijgewerkt worden, zodat je Mac ook van de meest recente gevaren af weet. Dit staat automatisch ingeschakeld, maar kun je ook handmatig uitschakelen. Je kunt controleren of deze updates ingeschakeld staan met onderstaande stappen:

Hierbij is het wel belangrijk dat programma’s File Quarantine ondersteunen. Zo bieden Safari, Mail en Google Chrome bijvoorbeeld wel ondersteuning voor File Quarantine.

Microsoft SmartScreen
Ter vergelijking: Windows heeft een SmartScreen-functie, die iets anders van insteek is. Windows 8 en later stuurt informatie over elke gedownloade app door naar de servers van Microsoft. Daar wordt gekeken of de app kwaadaardig is. Als Smartscreen de app niet herkent, voorkomt Windows de installatie en voorkomt dat je de app kunt starten. Voorheen zat SmartScreen alleen in Internet Explorer. Sinds Windows 8 zullen ook apps die je met Firefox of Chrome downloadt worden gecheckt. Omdat de virusdefinities op een server bij Microsoft staan, kunnen ze sneller worden bijgewerkt.

Wat doet Apple’s antivirus wel en niet?

File Quarantine en XProtect werken dus samen om te voorkomen dat jij per ongeluk malware installeert waar Apple mee bekend is. Dit maakt het tot een handig hulpmiddel, dat je het beste gewoon automatisch ingeschakeld kunt laten staan. Wees er echter wel van bewust dat de software ook veel dingen niet doet.

Zo scant XProtect je Mac niet of je laptop al geïnfecteerd is met een virus, en ruimt dan ook geen schadelijke bestanden op die eventueel nog op je Mac aanwezig zijn. Als een programma niet op Apple’s zwarte lijst staat, kan het dus gewoon geïnstalleerd worden als jij niet oplet. Ook beschermt macOS je niet automatisch tegen adware.

Daarnaast is het belangrijk om te onthouden dat XProtect, File Quarantine en Gatekeeper je niet beschermen tegen software die via geïnstalleerde programma’s van derden op je Mac terecht komt. Dit kan bijvoorbeeld via Java of Flash.

Heb je antivirussoftware nodig op de Mac?

Een steeds terugkerende vraag is of je speciale antivirussoftware nodig hebt op de Mac. De tools van Apple bieden immers maar eenvoudige bescherming en zijn niet afdoende om alle potentiële gevaren buiten te houden. Traditioneel heeft macOS weinig last van malware. Nieuwe malware duikt af en toe op, maar krijgt dan zoveel publiciteit dat je jezelf ertegen kunt wapenen. Lees dus regelmatig de nieuwtjes over nieuwe malware, installeer geen software van malafide uitziende partijen en klik niet zomaar beveiligingswaarschuwingen weg.

Naarmate macOS populairder wordt, wordt het ook een interessanter doelwit voor hackers. Daarom kan het in de loop van de tijd wel aan te raden zijn om anti-malwaresoftware te installeren. Maar op dit moment is dit nog niet nodig, tenzij je te maken hebt met een gebruiker die onhandig of goedgelovig is. Meer hierover lees je in onze gids over de noodzaak van antivirus op de Mac. Ook hebben we een lijst met de beste virusscanners voor de Mac.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt januari 2017
Categorie Diensten
Onderwerpen malware, virus