App 安全性概览
App 是现代安全架构中最关键的要素之一。尽管 App 可显著提高用户的工作效率,但如果处理不当,也可能对系统安全性、稳定性和用户数据产生负面影响。
鉴于此,Apple 提供了多重安全措施以帮助确保 App 不受已知恶意软件侵害以及不被篡改。其他保护措施确保谨慎处理 App 对用户数据的访问。这些安全性控制为 App 提供了安全稳定的平台,使成千上万的开发者能够在 iOS、iPadOS 和 macOS 上提供数十万款 App,而全都不会影响系统完整性。用户可以在其 Apple 设备上访问这些 App,而不必没有缘由地担心病毒、恶意软件或未经授权的攻击。
在 iPhone 和 iPad 上,所有 App 都从 App Store 获取且经过沙盒化,以提供最严密的控制。
在 Mac 上,许多 App 可从 App Store 获取,但 Mac 用户也可从互联网下载和使用 App。为了安全支持互联网下载,macOS 的分层保护提供了附加控制。首先,在 macOS 10.15 或更高版本中,所有 Mac App 默认需要 Apple 公证才能启动。此要求可帮助确保这些 App 不含已知的恶意软件,无需要求 App 是通过 App Store 提供。其次,macOS 包含先进的防病毒保护功能,可阻止(以及在需要时移除)恶意软件。
作为跨平台的附加控制,沙盒化可阻止 App 未经授权访问用户数据。在 macOS 中,关键区域中的数据具有自我保护功能,这可帮助确保用户仍可以控制对“桌面”、“文稿”、“下载”和所有 App 其他区域中文件的访问,无论尝试访问的 App 是否本身已沙盒化。
原生功能 | 第三方同等功能 |
|---|---|
未批准的插件列表、未批准的 Safari 浏览器扩展列表 | 病毒/恶意软件定义 |
文件隔离 | 病毒/恶意软件定义 |
XProtect/YARA 签名 | 病毒/恶意软件定义;端点保护 |
门禁 | 端点保护;对 App 强制执行代码签名以帮助确保仅运行受信任的软件 |
eficheck (对于不搭载 Apple T2 安全芯片的 Mac 为必要项) | 端点保护;Rootkit 检测 |
应用程序防火墙 | 端点保护;防火墙 |
数据包过滤 (pf) | 防火墙解决方案 |
系统完整性保护 | 内建于 macOS |
强制访问控制 | 内建于 macOS |
Kext 排除列表 | 内建于 macOS |
强制性 App 代码签名 | 内建于 macOS |
App 公证 | 内建于 macOS |