App 保安概覽
App 是現在安全架構最關鍵的要素之一。雖然 App 可顯著提高用户的生產力,但如處理不當,也可能對系統保安、穩定性和用户資料產生負面影響。
因此 Apple 提供多層保護,以協助確保 App 沒有包含已知的惡意軟件且未遭竄改,更有額外的保護機制強制要求謹慎協調 App 對用户資料的存取。這些保安控制項目為 App 提供了穩定且安全的平台,讓成千上萬的開發者能夠為 iOS、iPadOS 及 macOS 提供數十萬款的 App,當中無一會影響系統的完整性。用户可以在其 Apple 裝置上存取這些 App,無須過度擔心病毒、惡意軟件或未經授權的攻擊。
在 iPhone 和 iPad 上,所有 App 都需經由 App Store 取得,且所有 App 都以沙盒技術限制,以提供最嚴格的控制。
在 Mac 上,許多 App 是從 App Store 取得,但是 Mac 用户也可以從互聯網下載並使用 App。為了安全支援互聯網下載,macOS 提供多層額外控制。首先,在 macOS 10.15 或較新版本的預設狀態下,所有 Mac App 均需要經由 Apple 公證才能啟動。此要求有助於確保這些 App 中不含已知的惡意軟件,同時讓這些 App 可以不必透過 App Store 來提供。其次,macOS 包含最先進的防毒保護機制,可封鎖惡意軟件並在必要時予以移除。
作為額外的控制存取平台,沙盒處理可協助保護用户資料,避免 App 未經授權存取。在 macOS 中,重要區域中的資料本身就受到保護,因此可有助於確保用户保留針對所有 App 對「桌面」、「文件」、「下載項目」或其他區域中的檔案之存取控制權,無論嘗試存取的 App 本身是否以沙盒技術限制。
原生能力 | 第三方的對應功能 |
|---|---|
不獲批准的外掛模組列表,不獲批准的 Safari 延伸功能列表 | 病毒/惡意軟件定義 |
檔案隔離 | 病毒/惡意軟件定義 |
XProtect/YARA 簽名 | 病毒/惡意軟件定義;端點防護 |
守衛 | 端點防護;在 App 上強制執行程式碼簽名,以協助確保僅執行受信任的軟件。 |
eficheck (未配備 Apple T2 安全晶片的 Mac 必備) | 端點防護;rootkit 偵測 |
應用程式防火牆 | 端點防護;防火牆 |
封包過濾器(pf) | 防火牆解決方案 |
系統完整保護 | 內置於 macOS |
強制性存取控制 | 內置於 macOS |
kext 排除列表 | 內置於 macOS |
強制性 App 程式碼簽署 | 內置於 macOS |
App 公證 | 內置於 macOS |