Scansioni anti-malware macOS: perché si comportano in modo strano?

Chi utilizza sistemi macOS, alternandoli con computer di altro tipo (come PC Windows) può aver notato delle sostanziali differenze in fase di scansioni anti-malware.

In realtà, questo comportamento anomalo del sistema operativo Apple, ha una spiegazione più che logica. Nel contesto macOS, esiste un servizio specifico noto come XProtect (chiamato comunemente XPR), utile proprio per le scansioni e il rilevamento malware.

Se rileva qualcosa di spiacevole, tenta di rimuoverlo in un processo di riparazione ma, poiché tutto questo viene eseguito come servizio in background, XPR non informa l’utente di tale operazione. Per rendere conto del suo lavoro, invece annota il suo lavoro su un registro.

In questo senso, quando un utente nota un comportamento strano sul suo Mac, dovrebbe sempre controllare questi log per un controllo incrociato.

XProtect: la scansione anti-malware secondo Apple

Le scansioni XPR vengono effettuate, a meno di occasioni particolari, una volta al giorno. Il tutto avviene attraverso a diversi servizi collegati a tale strumento (nel complesso ve ne sono sette).

XProtectPluginService viene attivato ed esegue il proprio ciclo di scansioni eseguite dai plug-in contenuti nel bundle XPR, con nomi come XProtectRemediatorMRTv3, che esegue la maggior parte, se non tutti, i controlli che venivano eseguiti dal vecchio strumento di macOS per la rimozione malware. MRT. XProCheck, invece, esamina il registro per i report di ciascuno di questi moduli di scansione e informa l’utente su cosa contengono.

A seconda di come viene utilizzato un Mac, di tanto in tanto è possibile notare alcuni comportamenti strani in questi rapporti. In molti casi, però, si può trattare di un semplice aggiornamento proposto da Apple che crea dei piccoli problemi.

Qualche piccolo problema con gli aggiornamenti

Quando un Mac installa un aggiornamento per XPR, sostituisce l’intero pacchetto, inclusi tutti i moduli dello scanner e XProtectPluginService. Quest’ultimo processo comunica con i singoli moduli scanner utilizzando XPC, e questo è reso sicuro controllando le firme di quei moduli. Quando un aggiornamento è appena stato installato, macOS continua a eseguire la versione precedente di XProtectPluginService, anche se tutti i moduli sono della nuova versione.

Quando DAS-CTS invia le nuove scansioni XPR, XProtectPluginService tenta di eseguire il primo dei nuovi moduli, ma scopre che la sua firma non corrisponde a quella prevista. Segnala che nel registro e macOS chiude e riavvia XProtectPluginService. Poiché la versione che ora si avvia è quella nuova, quando DAS-CTS invia le scansioni XPR, le firme ora corrispondono e le scansioni vengono completate come previsto.

In conclusione, sebbene per un novizio del contesto Apple può trovarsi disorientato, la protezione offerta da XPR risulta molto efficiente e, grazie alle attenzioni degli sviluppatori, con tutta probabilità diventerà ancora più efficiente con le prossime versioni di macOS.