Zo wil Apple alle apps voor de Mac veiliger maken

Door: Raymon Mens - 3 reacties

Met macOS Mojave heeft de Mac App Store een grote facelift gekregen. Een aantal bekende Mac-ontwikkelaars heeft hun apps weer in de app-winkel voor Mac geplaatst. Toch zijn nog veel apps alleen buiten de Mac App Store verkrijgbaar, bijvoorbeeld als download via websites. En dat brengt beveiligingsrisico’s met zich mee. Met een nieuwe techniek genaamd Notarization moeten alle applicaties veiliger worden.

Van twee naar drie opties voor apps buiten de Mac App Store

Het is altijd mogelijk geweest om apps buiten de Mac App Store te installeren. Tot nu toe waren er grofweg twee smaakjes: apps die door een ontwikkelaar zijn ondertekend met een Developer ID. Daarmee verbindt een ontwikkelaar zijn naam aan alle apps en checkt Apple of de ontwikkelaar ook is wie hij zegt te zijn. Blijkt er malware in een app te zitten? Dan trekt Apple het Developer ID in en kunnen de apps niet (gemakkelijk) meer uitgevoerd worden.

Aan de andere kant zijn er apps die helemaal niet zijn ondertekend. macOS staat het uitvoeren van deze apps standaard niet toe, tenzij je de instellingen van Gatekeeper, een ingebouwd beveiligingsmechanisme, aanpast.

mac app blocked
Een app die geen Developer ID heeft – Klik/tap voor groter.

Notarization als nieuwe, derde optie

Apple heeft nu echter een nieuwe, derde optie toegevoegd. Die heet Notarization en is een hele goede middenweg. Met Notarization kan een ontwikkelaar iedere app door Apple laten scannen op malware. Als de geautomatiseerde scan geen alarmbellen af laat gaat, signeert Apple de app en kan deze zonder blokkade van macOS uitgevoerd worden.

Tot nu toe klinkt Notarization eigenlijk hetzelfde als het tekenen van een app met een Developer ID. Toch zijn er behoorlijk wat verschillen. Apps met een Developer ID worden niet door Apple gescand. De ontwikkelaar krijgt eenmalig een certificaat van Apple dat voor alle apps gebruikt kan worden. Apps met Notarization ondergaan een malware-scan. Het geeft je als gebruiker dus extra veiligheid.

Ook beter voor ontwikkelaar

Daarnaast is het ook veiliger voor ontwikkelaars. Soms lekken certificaten van een Developer ID uit en kan allerlei malware met een valide Developer ID ondertekend worden. Apple kan in zo’n geval alleen het hele ID blokkeren. Wat wil zeggen dat ook alle legitieme software van de ontwikkelaar stopt met werken. Met een Notarization kan alleen de verificatie van een bepaalde app ingetrokken worden, zonder dat het invloed heeft op andere apps van dezelfde ontwikkelaar.

Vooralsnog is notarificatie niet verplicht om apps te laten weren op de Mac, maar Apple raadt het wel aan. In een toekomstige versie van macOS is notarificatie vereist.

Notarization Mac
Een ‘Notorized’ app is meteen na downloaden te openen – Klik/tap voor groter.

Reacties

3 reacties
  • Profielfoto
    HHi Mac

    Nog mooier zou zijn dat Apple de optie biedt te scannen on demand

  • Profielfoto
    csteelooper

    Hoezo “de optie bieden”? Gewoon álles scannen. En dan zelfs niet alleen beperken tot apps, maar ook afbeeldingen, archieven, et cetera. Windows Defender en diens voorlopers doen dit al bijna een halve eeuw. Tuurlijk, je kunt externe antivirus-software installeren (goed idee dezer dagen, zelfs voor MacOS), maar als het OS de basis-checks zelf al uitvoert is de noodzaak daartoe weer een stuk minder.

  • Profielfoto
    iAmRenzo

    Ondemand scannen met de laatste definities op internet zou inderdaad erg fijn zijn. Sommige apps installeren ook nog iets in de ~/Library dat zou ook gechecked moeten worden.

    Overigens vind ik qua beveiliging dat Safari extensies apps moeten zijn wel heel vervelend. Uiteindelijk zijn geen van mijn Safari extensies nog een ‘app’ en dus werken ze allemaal niet meer. Omdat veel hobby-projecten zijn, denk ik ook niet dat het gaat gebeuren.