Gatekeeper และการปกป้องแบบรันไทม์ใน macOS
macOS มีเทคโนโลยี Gatekeeper และการปกป้องแบบรันไทม์เพื่อช่วยให้การรับรองว่าจะมีแค่ซอฟต์แวร์ที่เชื่อถือแล้วเท่านั้นที่สามารถใช้งานได้บน Mac ของผู้ใช้
Gatekeeper
macOS มีเทคโนโลยีความปลอดภัยที่เรียกว่า Gatekeeper ซึ่งออกแบบมาเพื่อช่วยให้มั่นใจว่าจะมีเพียงซอฟต์แวร์ที่เชื่อถือได้เท่านั้นที่ทำงานบน Mac ของผู้ใช้ เมื่อผู้ใช้ดาวน์โหลดและเปิดแอป ปลั๊กอินหรือแพ็คเกจตัวติดตั้งจากภายนอก App Store แล้ว Gatekeeper จะตรวจสอบยืนยันว่าซอฟต์แวร์มาจากนักพัฒนาที่ได้รับการยืนยันตัวตน ได้รับการรับรองโดย Apple ว่าปราศจากเนื้อหาที่ทราบว่าเป็นอันตราย และไม่ได้ถูกดัดแปลง นอกจากนี้ Gatekeeper จะร้องขอการอนุญาตจากผู้ใช้ก่อนที่จะเปิดซอฟต์แวร์ที่ดาวน์โหลดแล้วเป็นครั้งแรกเพื่อตรวจสอบให้แน่ใจว่าผู้ใช้ไม่ได้ถูกหลอกให้ใช้งานโปรแกรมปฏิบัติการที่ผู้ใช้เชื่อว่าเป็นเพียงแค่ไฟล์ข้อมูล Gatekeeper ยังติดตามแหล่งที่มาของไฟล์ที่เขียนโดยซอฟต์แวร์ที่ดาวน์โหลดอีกด้วย
ตามค่าเริ่มต้น Gatekeeper จะช่วยให้การรับรองว่าซอฟต์แวร์ที่ดาวน์โหลดแล้วทั้งหมดถูกลงชื่อโดย App Store หรือลงชื่อโดยนักพัฒนาที่ได้รับการลงทะเบียนและได้รับการรับรองโดย Apple แล้ว ทั้งกระบวนการตรวจสอบของ App Store และวิธีการรับรองได้รับการออกแบบมารับรองว่าแอปเหล่านั้นไม่มีมัลแวร์ที่รู้จัก ดังนั้นตามค่าเริ่มต้นแล้ว ซอฟต์แวร์ทั้งหมดใน macOS จะถูกตรวจสอบหาเนื้อหาที่ทราบว่าประสงค์ร้ายในครั้งแรกที่ถูกเปิด ไม่ว่าเนื้อหาดังกล่าวจะถูกนำเข้ามาบน Mac ด้วยวิธีการใดก็ตาม
ผู้ใช้และองค์กรมีตัวเลือกในการอนุญาตเฉพาะซอฟต์แวร์ที่ติดตั้งจาก App Store เท่านั้น นอกจากนี้ ผู้ใช้ยังสามารถเขียนทับนโยบายของ Gatekeeper เพื่อเปิดซอฟต์แวร์ใดก็ได้ เว้นแต่ว่าจะถูกจำกัดโดยโซลูชั่นการจัดการอุปกรณ์เคลื่อนที่ (MDM) องค์กรสามารถใช้ MDM ในการกำหนดค่าการตั้งค่าของ Gatekeeper ได้ ซึ่งรวมถึงการอนุญาตซอฟต์แวร์ที่ถูกลงชื่อด้วยข้อมูลประจำตัวอื่น ถ้าจำเป็น Gatekeeper ยังสามารถปิดใช้งานอย่างสมบูรณ์ได้อีกด้วย
Gatekeeper ยังปกป้องจากการแพร่กระจายของปลั๊กอินที่เป็นอันตรายที่มากับแอปที่ไม่เป็นอันตรายอีกด้วย ในกรณีนี้ การใช้แอปจะสั่งทำงานการโหลดปลั๊กอินที่เป็นอันตรายโดยที่ผู้ใช้ไม่รู้ตัว Gatekeeper จะเปิดแอปจากตำแหน่งแบบอ่านอย่างเดียวแบบสุ่มเมื่อจำเป็น วิธีนี้ได้รับการออกแบบมาเพื่อป้องกันการโหลดปลั๊กอินที่แจกจ่ายพร้อมกับแอปโดยอัตโนมัติ
การปกป้องรันไทม์
ไฟล์ระบบ ทรัพยากร และเคอร์เนลจะถูกป้องกันจากพื้นที่แอปของผู้ใช้ แอปทั้งหมดจาก App Store จะอยู่ใน Sandbox เพื่อจำกัดการเข้าถึงข้อมูลที่จัดเก็บโดยแอปอื่น ถ้าแอปจาก App Store ต้องการเข้าถึงข้อมูลจากแอปอื่น App Store สามารถทำได้โดยใช้ API และบริการที่ให้บริการโดย macOS