App 安全性概覽
App 是現在安全架構最關鍵的要素之一。雖然 App 可顯著提高使用者的生產力,但若處理不當,也可能對系統安全性、穩定性和使用者資料產生負面影響。
因此 Apple 提供多層保護,有助於確保 App 沒有包含已知的惡意軟體且未遭竄改。其他保護機制強制要求謹慎協調 App 對使用者資料的存取。這些安全控制提供了穩定且安全的平台,讓成千上萬的開發者能夠提供數十萬款的 iOS、iPadOS 和 macOS App,而不會影響系統的完整性。使用者可以在其 Apple 裝置上存取這些 App,無須過度擔心病毒、惡意軟體或未經授權的攻擊。
在 iPhone 和 iPad 上,所有 App 都需從 App Store 取得,且所有 App 都以沙盒技術限制,以提供最嚴格的控制。
在 Mac 上,許多 App 是從 App Store 取得,但是 Mac 使用者也可以從網際網路下載並使用 App。為了安全支援網際網路下載,macOS 提供多層額外控制。首先,在 macOS 10.15 或以上版本的預設狀態下,所有 Mac App 均需要經由 Apple 公證才能啟動。此要求有助於確保這些 App 中不含已知的惡意軟體,同時讓這些 App 可以不必透過 App Store 來提供。其次,macOS 包含最先進的防毒保護機制,可封鎖惡意軟體並在必要時予以移除。
作為額外的控制存取平台,沙盒可協助保護使用者資料,避免 App 未經授權存取。在 macOS 中,重要區域中的資料本身就受到保護,因此有助於確保使用者保有「桌面」、「文件」、「下載項目」中檔案和所有 App 的其他區域的存取控制權,無論嘗試存取其 App 本身是否以沙盒技術限制。
原生能力 | 第三方等效機制 |
|---|---|
外掛模組未核准列表、Safari 延伸功能未核准列表 | 病毒/惡意軟體定義 |
檔案隔離 | 病毒/惡意軟體定義 |
XProtect/YARA 簽章 | 病毒/惡意軟體定義;端點防護 |
門禁 | 端點防護;在 App 上強制執行程式碼簽章,以協助確保僅執行受信任的軟體 |
eficheck (未配備 Apple T2 安全晶片的 Mac 必備) | 端點防護;rootkit 偵測 |
應用程式防火牆 | 端點防護;防火牆 |
封包過濾器(pf) | 防火牆解決方案 |
系統完整保護 | 內建於 macOS |
強制存取權限控制 | 內建於 macOS |
Kext 排除列表 | 內建於 macOS |
強制 App 程式碼簽署 | 內建於 macOS |
App 公證 | 內建於 macOS |