Als je dagelijks een Mac gebruikt, is de kans groot dat... Gatekeeper is een van die onzichtbare beveiligingssystemen. Ze werken op de achtergrond zonder dat je het merkt. Ze zijn er elke keer dat je een app downloadt, elke keer dat je dubbelklikt op een installatieprogramma, en in veel gevallen zorgen ze ervoor dat je niets installeert wat je niet zou moeten installeren.
Hoewel Macs de reputatie hebben veiliger te zijn dan andere computers, Dat betekent niet dat ze vrij zijn van virussen, malware of schadelijke applicaties.Precies daarom Apple heeft jarenlang gewerkt aan het versterken van de beveiligingslagen in macOS.Gatekeeper is een van de belangrijkste onderdelen. Inzicht in wat het doet, hoe het werkt en hoe je het veilig configureert, helpt je een balans te vinden tussen bescherming en gebruiksgemak.
Wat is Gatekeeper in macOS en waarvoor wordt het gebruikt?
Gatekeeper is een beveiligingstechnologie die is ingebouwd in macOS en fungeert als een filter dat bepaalt welke software op je Mac kan draaien En welke software wordt geblokkeerd omdat deze niet vertrouwd wordt. Het bestaat al sinds OS X Mountain Lion (2012) en Apple heeft het in de loop der tijd verbeterd en de bescherming tegen malware aangescherpt.
Zijn belangrijkste missie is Voorkomt dat u potentieel gevaarlijke apps uitvoert die u van internet hebt gedownload.Er wordt gecontroleerd wie ze heeft gemaakt, of ze door Apple zijn beoordeeld en of ze zijn gewijzigd sinds de ontwikkelaar ze heeft gepubliceerd. Dit alles gebeurt op het moment dat je voor het eerst een app, module of installatiepakket probeert te openen.
Wanneer je software downloadt van buiten de App Store, controleert Gatekeeper of... De ontwikkelaar is geïdentificeerd met een Apple Developer ID en de app is correct ondertekend.Daarnaast controleert het in moderne versies van macOS (zoals Catalina en later) ook of de app het notariële certificeringsproces van Apple heeft doorlopen, waarbij vooraf een analyse op bekende malware plaatsvindt.
Om de beveiliging verder te verbeteren, heeft Gatekeeper ook Het programma zal u de eerste keer dat u gedownloade software opent, expliciet om uw bevestiging vragen.Het idee is om te voorkomen dat ze uitvoerbare code "binnensluipen" die vermomd is als een eenvoudig gegevensbestand, zoals een nep-pdf of een nep-tekstdocument, terwijl het in werkelijkheid een kwaadaardige app is.
Hoe Gatekeeper intern te werk gaat
Achter de waarschuwingsberichten die u op het scherm ziet, schuilt een reeks technische mechanismen die macOS gebruikt om te bepalen of een app betrouwbaar is Of misschien ook niet. Het begint allemaal op het moment dat je iets van internet downloadt.
Wanneer het bestand via een webbrowser, e-mailprogramma of andere compatibele applicatie op je Mac binnenkomt, voegt macOS een speciaal quarantaine-attribuutDat kenmerk geeft aan dat het bestand "van internet is gedownload" en zorgt ervoor dat Gatekeeper ingrijpt wanneer je het voor de eerste keer probeert te openen.
Bij het openen van een app die in quarantaine is geplaatst, controleert Gatekeeper een aantal zaken: de herkomst van het bestand, de codehandtekening, het ontwikkelaarscertificaat en de status van de notariële certificeringAls iets niet klopt of niet geverifieerd kan worden, geeft macOS een beveiligingswaarschuwing weer of blokkeert de uitvoering direct.
Codeondertekening stelt ons in staat te garanderen dat Wat u opent, is precies wat de ontwikkelaar heeft verzonden en er is niets mee gedaan. door derden. Als de inhoud is gewijzigd, is de handtekening niet langer geldig en kan Gatekeeper u waarschuwen dat de app "mogelijk beschadigd is of is gemanipuleerd".
Notarisering is op zichzelf een proces waarbij de ontwikkelaar Apple laat zijn app analyseren op malware. en andere bekende kwaadwillige gedragingen. Als het de test doorstaat, geeft Apple een "zegel" af dat Gatekeeper tijdens de uitvoering kan verifiëren, lokaal of via een verbinding met de servers van Apple.
Als macOS iets echt gevaarlijks detecteert, kan het de gevreesde melding weergeven. "De naam van deze app kan uw computer beschadigen."waarbij de app volledig wordt geblokkeerd, naar de prullenbak wordt verplaatst en in sommige gevallen toestemming wordt gevraagd om een ​​anonieme kopie van de malware naar Apple te sturen om toekomstige detecties te verbeteren.
Relatie tussen Gatekeeper, App Store en geïdentificeerde ontwikkelaars
Binnen het macOS-ecosysteem, Niet alle software wordt vanuit beveiligingsoogpunt op dezelfde manier behandeld.Apple onderscheidt hoofdzakelijk drie belangrijke bronnen van apps, en Gatekeeper gedraagt ​​zich bij elk van deze bronnen anders.
De meest gecontroleerde omgeving is, logischerwijs, die van de Mac App StoreAlle apps die daar worden gepubliceerd, hebben een handmatig en geautomatiseerd beoordelingsproces door Apple doorlopen, worden gedistribueerd met een digitale handtekening en als er een ernstig probleem wordt geconstateerd, kan Apple ze uit de store verwijderen en hun certificaat intrekken. Volgens Gatekeeper zijn dit de meest betrouwbare apps.
Ten tweede zijn er de apps voor ontwikkelaars geïdentificeerd Deze ontwikkelaars distribueren hun software onafhankelijk, via hun officiële website of andere kanalen. Ze hebben een Apple ID en ondertekenen hun apps met een officieel certificaat. Gatekeeper verifieert deze handtekening en controleert in macOS Catalina en latere versies ook of deze notarieel is bekrachtigd.
Eindelijk hebben we de software gevonden voor niet-geïdentificeerde of niet-ondertekende ontwikkelaarsDeze apps vallen niet onder de Apple-garantie. Gatekeeper staat standaard niet toe dat je ze direct opent, waardoor je extra stappen moet ondernemen om ze uit te voeren. Dit verhoogt het risico.
macOS biedt je de flexibiliteit om via de beveiligingsvoorkeuren aan te passen wat je wel en niet wilt toestaan. Ga naar Systeeminstellingen > Privacy en veiligheid Je kunt kiezen tussen het toestaan ​​van alleen apps uit de App Store of het toestaan ​​van apps uit de App Store én van geïdentificeerde ontwikkelaars. Meer permissieve opties, zoals het accepteren van elke app uit elke bron of het volledig uitschakelen van Gatekeeper, worden doorgaans alleen in zeer specifieke contexten of met geavanceerde tools gebruikt.
Basisconfiguratie van Gatekeeper op macOS
De overgrote meerderheid van de gebruikers hoeft niets aan te raken, omdat macOS wordt geleverd met een redelijk uitgebalanceerde configuratie. Een afweging tussen veiligheid en flexibiliteit. Toch is het de moeite waard om te weten waar Gatekeeper in dit plaatje past en wat de verschillende opties inhouden.
In de huidige versies van macOS bevinden de bedieningselementen zich in Systeem instellingen > Privacy en beveiliging. In dat gedeelte, als je een beetje naar beneden scrollt, zie je het blok 'Beveiliging' met het onderdeel 'Apps toestaan ​​die zijn gedownload van'.
Daar kunt u meestal kiezen tussen twee optiesEr zijn twee opties: "App Store", waarmee alleen apps zijn toegestaan ​​die via de officiële Apple Store zijn gedownload, en "App Store en erkende ontwikkelaars", waarmee ook software van door Apple gecertificeerde ontwikkelaars die buiten de Store is gedownload, is toegestaan. De laatste optie is voor de meeste gebruikers doorgaans de meest praktische.
Als je Mac zo is ingesteld dat alleen apps uit de App Store zijn toegestaan, zal elke poging om software te openen die je elders hebt gedownload, mislukken. Het apparaat wordt automatisch vergrendeld en u ontvangt een melding. Dat de app niet gebruikt kan worden omdat deze niet uit de officiële appwinkel komt.
Als Gatekeeper een app standaard blokkeert die je betrouwbaar vindt (bijvoorbeeld een professionele tool die je van de website van de ontwikkelaar hebt gedownload), kun je deze per geval autoriseren. Nadat je de app hebt geprobeerd te openen en de waarschuwing hebt ontvangen, ga je naar Privacy en beveiliging. Onderaan het scherm vind je de knop. "Gewoon geopend" voor die specifieke app.
Als u op "Toch openen" drukt, wordt de waarschuwing opnieuw weergegeven. Als u vervolgens bevestigt met de knop "Openen", Die app wordt opgeslagen als een permanente uitzondering. naar je beveiligingsinstellingen. Van daaruit kun je de app openen zoals elke andere geautoriseerde applicatie, zonder dat Gatekeeper opnieuw om toestemming vraagt.
Gatekeeper en runtimebeveiliging
Gatekeeper is niet de enige beveiligingslaag van macOS. Zodra die eerste vertrouwenscontrole is doorstaan, treedt wat Apple "Security Protection" noemt in werking. runtimebeveiliging, wat ervoor zorgt dat zelfs geautoriseerde apps niet zomaar alles kunnen doen wat ze willen binnen het systeem.
Enerzijds behoudt macOS Systeembestanden, kritieke resources en de kernel zijn beschermd tegen toegang vanuit de gebruikersapplicatie.Dit betekent dat applicaties niet zomaar gevoelige onderdelen van het besturingssysteem kunnen wijzigen, waardoor de impact van een mogelijke aanval wordt verminderd.
Bovendien draaien alle apps die uit de App Store worden gedownload op een zandbak ofwel een beveiligde zone. Dit mechanisme beperkt strikt welke bestanden, mappen, hardware en gegevens toegankelijk zijn en vereist dat elke interactie met inhoud van andere apps plaatsvindt via API's en services die door macOS worden beheerd.
Op deze manier, zelfs als een app is gedownload van een vertrouwde site, Je krijgt zonder toestemming geen toegang tot gegevens van andere applicaties. of gevoelige delen van het systeem, wat een extra barrière vormt tegen kwaadwillig gedrag of ernstige programmeerfouten.
Gatekeeper helpt ook om een ​​zeer specifieke aanvalsvector te stoppen: Het laden van kwaadaardige modules of add-ons die gebundeld zijn met een ogenschijnlijk onschuldige app.In bepaalde omstandigheden kan macOS die app vanuit willekeurige, alleen-lezen locaties uitvoeren, juist om te voorkomen dat externe modules die in hetzelfde pakket zijn verpakt, automatisch worden geladen.
Typische waarschuwingsberichten van Gatekeeper
Als je je Mac regelmatig gebruikt om nieuwe apps te installeren, ben je dit waarschijnlijk al eens tegengekomen. diverse waarschuwingsberichten van Gatekeeper en het systeemInzicht in de betekenis van elk van deze termen helpt bij het nemen van betere beslissingen over wat te doen in elk specifiek geval.
Wanneer je voor het eerst een app opent van een geïdentificeerde ontwikkelaar die buiten de App Store is gedownload, macOS zal vragen of je het echt wilt openen.Het geeft meestal aan van welke website het is gedownload en wanneer, zodat je kunt beoordelen of het iets is dat je verwachtte te downloaden.
Als Apple niet kan controleren of een app schadelijke software bevat, bijvoorbeeld omdat de ontwikkelaar Het kan niet worden geverifieerd omdat de app niet notarieel is bekrachtigd.Je krijgt een melding dat macOS niet kan controleren of de app vrij is van malware. In strengere instellingen wordt de app hierdoor geblokkeerd.
Als uw beveiligingsinstellingen zijn ingesteld op 'Alleen App Store', macOS opent geen apps die van andere websites zijn gedownload.Je krijgt een waarschuwing te zien dat deze app niet afkomstig is uit de App Store en niet is toegestaan ​​volgens je instellingen.
Als het systeem detecteert dat de software schadelijke inhoud bevat of dat de autorisatie ervan is ingetrokken, macOS kan een waarschuwing weergeven dat de app uw computer kan beschadigen.In dergelijke situaties voorkomt het systeem doorgaans dat de app wordt uitgevoerd, verplaatst deze naar de prullenbak en raadt aan de app niet meer te gebruiken.
Het is ook mogelijk dat macOS vaststelt dat een app beschadigd of gewijzigd is. In dat geval ziet u een bericht zoals dit: De app kan niet worden geopend omdat deze mogelijk beschadigd is of gemanipuleerd is.Dit duidt meestal op een probleem met de integriteit van de app of de codehandtekening.
Bekende beperkingen en kwetsbaarheden van Gatekeeper
Ondanks al deze beveiligingslagen is Gatekeeper niet onfeilbaar. Er zijn daadwerkelijke gevallen bekend waarin cybercriminelen erin zijn geslaagd deze beveiligingsmaatregelen te omzeilen. en malware in macOS-systemen infiltreren door specifieke kwetsbaarheden of ontwerpfouten te misbruiken. Er zijn bijvoorbeeld waarschuwingen uitgegeven. macOS-beveiligingswaarschuwingen die de noodzaak van snelle oplossingen benadrukken.
Een bekend voorbeeld was malware die misbruik maakte van een Gatekeeper-kwetsbaarheid. het vertrouwen dat macOS stelt in externe schijven en gedeelde netwerkstationsIn sommige versies werden deze omgevingen beschouwd als "veilige plekken", zodat software die daar was opgeslagen kon worden uitgevoerd zonder dezelfde strenge controles te ondergaan als bestanden die waren gemarkeerd als gedownload van internet.
Beveiligingsonderzoeker Filippo Cavallarin bewees dat het mogelijk was. het systeem misleiden om kwaadaardige code uit te voeren Juist via dit mechanisme wordt de deur geopend voor ervaren aanvallers om misbruik te maken van dat overmoed.
Het gebruik van deze en andere technieken door adwarebedrijven is ook gedocumenteerd, zoals in het geval van... OSX/SurfbuyerIn dat scenario vermomden de aanvallers geïnfecteerde schijfkopieën als zogenaamde Adobe Flash Player-installatieprogramma's, een klassieke tactiek om nietsvermoedende gebruikers ertoe te verleiden het schadelijke installatieprogramma uit te voeren.
Dit was niet de eerste keer dat Gatekeeper bij dit soort incidenten betrokken was. In februari 2018 vond er een soortgelijk incident plaats. Een vergelijkbaar geval deed zich voor met de OSX/Shlayer-malware.die ook gebruik maakte van zwakke punten in de manier waarop macOS softwareverificaties afhandelde. Problemen oplossen zoals WebKit Andere updates proberen deze aanvalsvectoren te blokkeren, maar dat gebeurt niet altijd direct.
Een andere belangrijke beperking is dat Gatekeeper zich primair richt op het eerste moment van installatie en eerste uitvoering van de appHet is geen traditioneel antivirusprogramma dat alle systeemprocessen en -activiteiten in realtime monitort nadat de software is geïnstalleerd en actief is.
Hoe Gatekeeper aan te vullen voor een robuustere beveiliging
Juist vanwege de bovengenoemde beperkingen raden veel experts aan combineer Gatekeeper met andere beveiligingsoplossingen.vooral in meer blootgestelde omgevingen of waar gevoelige informatie wordt verwerkt.
Een van de meest voorkomende strategieën is om te kiezen voor macOS-specifieke antimalwaretools die realtime analyse, detectie op basis van verdacht gedrag en bescherming tegen bedreigingen bieden die misbruik kunnen maken van kwetsbaarheden na installatie.
Deze externe oplossingen kunnen helpen bij het detecteren van malware vermomd in ogenschijnlijk legitieme pakketten die in bepaalde scenario's geen Gatekeeper-waarschuwingen activeert omdat deze de initiële controles weet te omzeilen of misbruik maakt van gestolen certificaten en ondertekende componenten.
Het is ook belangrijk om basismaatregelen zoals niet te vergeten Zorg dat macOS altijd up-to-date is.Installeer snel beveiligingspatches en controleer uw geïnstalleerde apps. Verwijder apps die u niet meer gebruikt of die niet afkomstig zijn van betrouwbare bronnen. Voor veel gebruikers... Houd macOS up-to-date maakt een verschil.
Voor gevorderde gebruikers is het zelfs mogelijk Configureer Gatekeeper met behulp van MDM-beheertools en -beleidsregels. (Mobile Device Management) in bedrijfsomgevingen, waarbij wordt gedefinieerd welke soorten software kunnen worden geïnstalleerd, vanuit welke bronnen en onder welke voorwaarden, waardoor het aanvalsoppervlak wordt verkleind. Apple heeft zelfs bijgewerkte beveiligingsrichtlijnen en documentatie voor beheerders.
Gedetailleerde controle in bedrijven en organisaties
In de zakelijke omgeving vormt Gatekeeper een onderdeel van een bredere beveiligingsstrategie. Organisaties kunnen MDM-oplossingen gebruiken om specifieke beleidsregels af te dwingen. die de installatie van software beperken tot alleen apps uit de App Store of interne pakketten die zijn ondertekend met hun eigen certificaten.
Op deze manier kan worden voorkomen dat medewerkers apps van onbekende bronnen installeren, zelfs als ze proberen de standaard Gatekeeper-beperkingen via de grafische interface te omzeilen. MDM-beleid kan het uitschakelen van Gatekeeper blokkeren. en het gebruik van alternatieve ondertekeningsidentiteiten beperken.
In sommige sterk gereguleerde omgevingen is het gebruikelijk dat bedrijven ervoor kiezen om alleen interne en vertrouwde apps toe te staan. met centraal beheerde certificatenGatekeeper, in combinatie met andere macOS-technologieën zoals sandboxing, systeemintegriteitsbescherming en privacyinstellingen, helpt een omgeving te creëren die zo goed mogelijk is afgesloten voor ongeautoriseerde software.
Hoewel Apple geen tekenen heeft vertoond dat het van plan is om van macOS een systeem te maken dat net zo gesloten is als iOS, In de praktijk is er een trend naar strengere controles.Promoot de distributie via de App Store en moedig ontwikkelaars aan om formele ondertekenings- en notariële procedures te doorlopen.
Voor thuisgebruikers en zelfstandige professionals vertaalt dit alles zich in: Meer beveiligingslagen zonder al te veel flexibiliteit te verliezen.mits je een basiskennis hebt van wat Gatekeeper doet en weloverwogen beslissingen neemt bij het installeren van nieuwe apps.
Als je het geheel bekijkt, is het duidelijk dat Gatekeeper functioneert als een soort digitale "doelman" die Bepaal wie toegang krijgt tot je Mac en onder welke voorwaarden.Dankzij een notarieel gecertificeerd systeem, codeondertekening, de app-sandbox van de App Store en diverse runtime-beveiligingen is het niet perfect en vervangt het geen gezond verstand of andere beveiligingshulpmiddelen, maar het maakt wel een enorm verschil vergeleken met een systeem zonder deze controles. Door het verstandig te configureren, is het een van de eenvoudigste en meest effectieve manieren om je Mac dagelijks veilig te houden.