Een van de nieuwe features van het vrijdag uitgebrachte Snow Leopard is XProtect, een programma dat waarschuwt voor bekende malware. Het is in feite een uitgebreide versie van het programma File Quarantine, dat voor het eerst in Tiger (Mac OS X versie 10.4) werd meegeleverd. Dit basale systeem waarschuwt gebruikers als een gedownload bestand uitvoerbaar (.pkg, .dmg) is.

XProtect gaat een stap verder, en scant op bekende malware. In een verklaring laat Apple weten dat Snow Leopard "niet alleen waarschuwt voor gedownloade applicaties maar ook waarschuwt als een bestand bekende malware bevat, en dat het de gebruiker dan voorstelt het bestand te verplaatsen naar de prullenmand. Een besmette nepversie van iWork werd bijvoorbeeld enkele maanden geleden verspreid op het web. Dat soort malware wordt nu gedetecteerd."

Trojaanse paarden

Securitybedrijven juichen toe dat Apple meer doet aan malwarebestrijding, maar wijzen er tevens op dat XProtect verre van volledig is. "Het is een erg basale vorm van bescherming", zegt Chet Wisniewski van Sophos tegen Network World. "Wat XProtect doet is zoeken naar sporen van twee bekende Trojaanse paarden, waaronder een die doet alsof het een video-speler is."

Op het bedrijfsblog schrijft Sophos verder dat XProtect alleen gedownloade bestanden van een aantal applicaties scant, zoals Safari, Mail, Firefox en Entourage. Gedownloade bestanden van onder meer Skype en BitTorrent worden niet gescand. Ook securitybedrijf Intego wijst op deze beperking van de scan en schrijft "totaal niet onder de indruk" te zijn van Apples antimalware.

Trage updates

Symantec wijst er op dat Apple geen mogelijkheid geeft de gevonden malware van het systeem te verwijderen. Ook zal de malwareverdediging snel verouderd zijn, omdat de Software Update-technologie van Mac OS X updates niet automatisch installeert. De gebruiker krijgt een melding dat er updates beschikbaar zijn en moet dan het beheerderswachtwoord invoeren om die te installeren. Symantec stelt dat Apple dus niet snel kan inspelen op nieuwe dreigingen.