Что такое XProtect?
XProtect — встроенная служба антивирусной защиты Apple — и большинство пользователей Mac даже не подозревают о её существовании. Это сделано специально: XProtect работает полностью в фоновом режиме, без интерфейса, без уведомлений, без необходимости что-либо настраивать. Технически XProtect состоит из двух компонентов. Первый — сигнатурный сканер, который проверяет файлы при скачивании, открытии и запуске по базе известных сигнатур вредоносных программ. Apple поддерживает эту базу и регулярно обновляет её через обычные системные обновления — зачастую даже чаще, потому что обновления XProtect могут распространяться независимо от macOS. Второй компонент — XProtect Remediator, который с macOS Monterey выполняет регулярные сканирования и автоматически удаляет обнаруженное вредоносное ПО. Обычно это происходит в фоновом режиме, когда Mac не занят. Вы этого не замечаете — разве что XProtect что-то обнаружит. Преимущество XProtect — его незаметность. Он почти не использует ресурсы, не мешает работе и при этом обеспечивает базовую защиту от известных вредоносных программ. Apple быстро реагирует на новые угрозы и своевременно обновляет сигнатурную базу. Слабое место — слово «известных». XProtect распознает только те вредоносные программы, которые Apple уже идентифицировала и внесла в базу. Новые, неизвестные угрозы — так называемые Zero-Day — проходят мимо, пока Apple не добавит их сигнатуру. Кроме того, XProtect ограничен классическими вредоносными программами: вирусами, троянами, вымогателями. Он слеп к приложениям, которые, хотя и не являются вредоносными, собирают ваши данные и отправляют их домой. Он проверяет, вредна ли программа — а не доверительна ли она. Это важное отличие.
Что такое Gatekeeper?
Gatekeeper — вторая линия защиты и работает по другому принципу, чем XProtect. Пока XProtect сканирует по базе известных вредоносных программ, Gatekeeper проверяет происхождение и целостность программ. Концепция проста: перед первым открытием приложения Gatekeeper проверяет три вещи. Во-первых: подписано ли приложение действительным сертификатом разработчика? Apple выдает эти сертификаты в рамках программы разработчика, и подписанное приложение можно проследить до его разработчика. Во-вторых: прошло ли приложение нотарификацию Apple? Об этом чуть позже. В-третьих: изменялось ли приложение после подписи — например, было ли внедрено вредоносное ПО? Если приложение прошло все три проверки, оно открывается как обычно. Если нет, macOS выводит предупреждение. Для неподписанных приложений предупреждение более явное: «Это приложение не может быть открыто, потому что оно исходит от неидентифицированного разработчика». Вы все равно можете его открыть — через правый клик и «Открыть» или через системные настройки — но должны сознательно принять решение. Gatekeeper защищает вас от распространенного вектора атак: поддельного программного обеспечения. Например, если вы скачаете популярное приложение из неофициального источника и в нем внедрено вредоносное ПО, подпись станет недействительной, и Gatekeeper сработает. Граница Gatekeeper — он проверяет только при первом запуске. Если приложение станет проблемным после установки — например, после обновления, вводящего слежку — Gatekeeper об этом не узнает. И, как и XProtect, Gatekeeper не интересует, что делает приложение после запуска. Если доверенное, подписанное приложение отправляет ваши данные третьим лицам, Gatekeeper об этом не знает. Он гарантирует происхождение, а не поведение.
Как notarization дополняет картину
Нотарификация — третий уровень защиты Apple — и, вероятно, самый недооцененный. Она закрывает важную брешь между XProtect и Gatekeeper. Проблема, которую решает notarization: не каждое приложение распространяется через App Store. Многие лучшие Mac-приложения — в том числе и NetMute — распространяются напрямую через сайт разработчика. Раньше любой разработчик с сертификатом Apple мог подписать приложение, не проверяя его содержимое. Подпись подтверждала только личность разработчика, а не безопасность программы. С macOS Mojave Apple требует notarization для всех приложений вне App Store. Процесс таков: разработчик загружает готовое приложение на серверы Apple. Apple автоматически сканирует его на наличие известных вредоносных программ, подозрительных структур кода и небезопасных практик. Если приложение проходит проверку, Apple выдает ему нотарификационный билет, который прикрепляется к приложению. Когда вы скачиваете и открываете приложение, Gatekeeper проверяет этот билет. Если он есть и действителен, приложение открывается без предупреждения. Если нет — вы получите предупреждение. Нотарификация не гарантирует безопасность приложения — Apple проверяет автоматически, а не вручную. Но она гарантирует, что в приложении нет известных вредоносных программ и что оно соответствует определенным стандартам безопасности. Кроме того, Apple может отозвать нотарификацию после, если выяснится, что приложение вредоносное. В этом случае Gatekeeper блокирует его на всех Mac — так называемый удаленный «kill switch», который уже использовался несколько раз. Совместная работа XProtect, Gatekeeper и notarization образует продуманную многоуровневую систему. XProtect распознает известные вредоносные программы. Gatekeeper обеспечивает проверку происхождения и целостности программ. Нотарификация проверяет программы перед распространением. Вместе они создают сильную базовую защиту. Но у них есть общая граница.
Что не покрывают встроенные механизмы macOS
XProtect, Gatekeeper и Notarization — важные компоненты системы безопасности, но они не охватывают все. Они проверяют, что приходит в систему: файлы, приложения. Но не контролируют, что из системы уходит. И это — большая уязвимость. Например, приложение, прошедшее проверку, может в фоновом режиме отправлять данные на серверы аналитики или трекеры. macOS не мешает этому. И даже если отключить сбор данных — приложение может продолжать их отправлять. Также, эти механизмы не защищают от соединений, установленных напрямую по IP, без DNS-запросов. Некоторые приложения используют IP-адреса напрямую, обходя проверки. И, наконец, они не отслеживают поведение после запуска. Например, приложение может обновиться и начать отправлять данные — и это не заметит ни XProtect, ни Gatekeeper. В целом, эти системы — хорошая база, но не абсолютная защита. Для полной безопасности нужны дополнительные инструменты.
Закрытие пробелов — контроль исходящего трафика
Теперь вы знаете, что macOS хорошо защищает входящие соединения, но не контролирует исходящие. Чтобы закрыть эту брешь, нужна App-брандмауэр, который отслеживает исходящий трафик и дает вам контроль. Встроенная macOS-брандмауэр — только для входящих соединений и не подходит. NetMute — специально для этого. Он работает на Mac и показывает все исходящие соединения в реальном времени: какая программа, куда и через какое протокол. Вы сразу увидите, что, например, текстовый редактор связывается с аналитическим сервером, или фотопрограмма отправляет данные. Принцип прост: по умолчанию — все разрешено. Если вы видите нежелательное соединение — блокируете его одним кликом. В следующий раз оно не установится. Нет сложных правил, IP-адресов или настроек. Это — единственный слой, который показывает, что происходит после установки приложений. XProtect и Gatekeeper защищают от вредоносных программ, а NetMute — от утечки данных. Примеры: вы устанавливаете новую заметочную программу. Она еще не в списках трекеров. NetMute показывает, что она соединяется с сервером аналитики — и вы блокируете её. Или: приложение обновляется и начинает отправлять данные — и вы тоже можете это остановить. Стоимость — €9,99, разово. Без подписки, без облака. В связке с DNS-блокером — мощная защита 2026 года.