資安防護不可不知!資深果粉來分析 iPhone 的資安防護是否夠力?


相較於過去大家比較常使用電腦、筆電上網,近幾年功能愈來愈完整且擁有極高行動力的智慧型手機、平板電腦慢慢已經成為現代人不可或缺的重要工具,但也因為這類型的行動裝置幾乎人手一機,對於它的功能性更為依賴,同時在應用上包辦了生活、社交、工作、消費與娛樂…等不同層面,也因此行動裝置中難免會有各式各類的使用者個資,包括聯絡人、照片影片、社群平台資訊,甚至還有各式行動支付、金融服務的資訊,相對的「含金量」更勝一般的電腦。

而上述的狀況,也正是近幾年資安方面的攻擊逐步集中在行動平台上的主要原因,除了常見透過簡訊、即時通訊或社交平台進行釣魚詐騙的攻擊,甚至有更多惡意程式或駭客攻擊,都鎖定了大家的智慧型手機與平板電腦,但絕大多數的用戶多半不會特別重視行動端的資安防護機制,因此很容易成為個人隱私外流的一大破口。

近幾年多個資安報告都指出智慧型手機等行動裝置有愈來愈多惡意程式與駭客入侵的事件發生。

為了讓大家進一步瞭解行動平台的資安防護,作為資深果粉也將透過這篇文章,來為大家進一步分析許多人喜愛使用的 iPhone,到底在資安防護方面「夠不夠力」!

基本功:iPhone 面對疑似資安攻擊,該如何預防?

如同前面提到,相較於過去駭客與惡意程式多半鎖定電腦平台來攻擊與感染,現今的資安攻擊更著重於普及率更高、使用者眾多的智慧型手機、平板電腦等行動裝置平台,而且包括蘋果的 iOS 作業系統與 Google 的 Android 作業系統都無一倖免,尤其是針對系統漏洞的攻擊更是防不勝防。

像是前不久較知名的 ColdInvite 就利用了系統漏洞獲得系統內核的讀寫權限,若使用者沒有及時更新到新版系統,就有可能遭受入侵,最新版本的 ColdInvite 甚至還能繞過 iPhone、iPad 內的副處理器的防護機制,令人防不勝防,也因此有不少防毒防駭程式也針對 iOS 裝置提供防護功能,對於用戶來說的確有額外警示資安風險與避免危險操作行為的效果,但相對的也可能會造成系統運行額外的負擔,尤其是使用機型較為老舊的使用者更是相對更有感。

今年五月份,蘋果設備安管標準廠商 Jamf 發現到蘋果裝置內的副處理器的漏洞仍未被先前系統更新解決,ColdInvite 漏洞可允許攻擊者繞過安全機制進入處理器內核並置入惡意代碼。

也因為駭客與惡意程式的感染會透過系統漏洞入侵,並將後門程式植入記憶體中常駐,再進一步側錄傳輸的資料,或是進一步進系統權限的改寫等攻擊行為,若使用者有發現到手機可能有異常狀況(像是手機電量快速損耗、程式經常閃退或是手機發熱…等),最簡單的方式就是定期將手機關機後重啟,讓記憶體內的程式完全卸載,而這樣的動作也讓駭客需要再重新利用漏洞進行手機的遠端入侵,進一步提升取得手機權限的門檻,不過若是手機真的受到惡意攻擊,這種方式只能治標、無法治本,最終還是得要做系統的出廠重置,才可能徹底「根治」。

▲三星的 Knox Vault 安全平台提供了「全天候防護」功能,在設備開機期間都能提供完整的即時防護。

相較於 iPhone 與其他大部份 Android 手機,三星 Galaxy 手機對於資安防護就更為嚴密許多,早在十年前三星就將 Samsung Knox 安全防護機制導入 Galaxy 系列手機之中,打造出更具安全性的系統環境,而發展多年後形成的 Knox Vault 安全平台功能更是全方位,其中「全天候防護」機制就能確保手機在開機時能提供即時防護,也讓使用者無需進行定期重開機的動作。

▲Knox Vault 內建的「即時內核保護」技術架構,讓存取需求都需透過檢核驗證,且僅提供關鍵元件的唯護權限,可避免常見的內核攻擊行為。

之所以 Knox Vault 可以到全天候防護,主要在於「即時內核保護(Real-Time Kernel Protection, RKP)」的專利技術,在無需額外設定的情況下,內建 Knox 的三星 Galaxy 裝置開機時就會無縫運行,而系統內核的任何指令執行都會透過 RKP 進行驗證後執行,系統關鍵元件也僅提供唯讀權限,藉此防止最常見的內核攻擊行為。

此外,Knox Vault 中也內建有「漏洞預測(Deafeat Exploit, DEFEX)」技術,可以偵測、防止用戶設定的存取權限遭到可疑或未經授權的修改,阻止應用程式的異常行為。

硬體層面:iOS 透過「安全隔離區」提升安全性,但並非萬無一失?

對於資安防護,僅針對軟體層面進行駭客、惡意程式的防堵已經完全不足,透過硬體層面進行防護整合的效果將會更為即時,像是電腦平台常見的 Intel Core 系列處理器就針對商務市場推出「vPro」版本的處理器,直接將資安相關的防護功能如網路截斷、通訊加密、信任模組…等功能整合其中,從而防止惡意攻擊造成的損害。

▲蘋果的 「安全隔離區」架構。

而蘋果的 iOS 裝置也有類似的硬體機制,在 iPhone 5s、iPad Air 之後的行動裝置,Apple 就導入了「安全隔離區(Secure Enclave)」的安全子系統功能,本身雖然整合於 SoC 中,但卻有專屬的「系統副處理器」來維持運作,並與主要處理器區隔,同時也有專屬的「記憶體保護引擎」以密鑰方式進行記憶體區塊的加密與解密,以達到強化安全防護的效果。

不過蘋果這樣的硬體防護機制雖然看起來萬無一失,但實際上卻也曾經「翻車」過,知名的 iOS 越獄團隊在 2020 年的行動安裝資訊峰會就找到了安全隔離區的系統副處理器的漏洞,可能成為受攻擊的目標,也讓用戶的密碼、Apple Pay 資訊、Face ID 等資訊在不需密碼驗證的情況下被取得,雖說後續新版本的處理器已經修補了這項漏洞,但也能看出這樣硬體層級的資安防護機制仍有不足之處。

▲Samsung Knox 考量到硬體架構,將 Knox Vault 機制整合至處理器、儲存元件與記憶體之中,同時硬體供應鏈也需通過 CC 安全認證。

相對的,蘋果最大的對手三星很早就開始硬體層面的資安整合,除了 Samsung Knox 本身在架構上就考量到硬體層面的防護,其中與手機運作息息相關的處理器、記憶體與儲存晶片都考量到資料處理、傳輸與儲存時的安全性,同時三星也從供應鏈端著手,推動關鍵元件的安全認證,而三星 Galaxy 手機也採用多數國家資訊安全產品普遍認可的 Common Criteria 認證,並要求達到軍事使用的 EAL5+ 認證,因此除了抵禦軟體面的攻擊,甚至硬體面的雷射或電源故障等物理入侵也無法破解,即使手機遺失或遭竊,也不用擔心其中儲存的資料會有被破解或外流的疑慮。

儲存資料更有保障:進階資料保護終於來了,但…

針對手機中儲存資料的防護,去年在其他國家測試中的 iCloud 進階資料保護功能終於在全球正式開放,除了原有 14 類型資料進行傳輸的點對點加密,若是開啟進階資料保護,可加密的資料類型將擴充至 23 類之多,包括 iCloud 備份、照片與備忘錄…等,受保護的資料也只能在受信任的裝置進行解密,即便雲端資料外洩也不用擔心內容會曝光(未開啟前,iCloud 上的資料會是非加密狀態),以達到個人隱私的終於防護。

▲今年全新開放至 iOS 的 iCloud 進階資料保護功能,開啟後能夠限定特定裝置才能解鎖 iCloud 上同步的內容。

雖說 iCloud 進階資料保護功能可以一定程度提高使用者對於手機資料保護的安全性,但畢竟這個機制本身還是得透過 iCloud 進行傳輸與加解密,使用起來可能不這麼直覺,相對的三星 Galaxy 手機的 Samsung Knox 所提供的「安全資料夾」就要簡單許多-透過 Knox 技術直接在手機中劃分一個獨立的系統區塊,與原本的作業系統完全區隔,而且除了資料儲存,也能在安全資料夾中安裝各類型的應用程式,而且同樣與原本的系統區隔,因此非常適合使用同一支手機處理公務與私人用途的使用者,透過安全資料夾的機制就能最簡單快速地把機密敏感的資料安全加密在手機之中,無需額外的設定或是要上傳到雲端,使用上更省心省力。

▲Samsung Knox 的「安全資料夾」能在手機原有系統中獨立區分一個受到加密保護的子系統,並提供私密檔案儲存與獨立應用程式安裝的功能,讓同一支 Galaxy 手機做到「公私分明」。

iPhone 的封閉式系統,對資安來說是優點,也是缺點

目前市場上的兩大智慧型手機就屬 iOS 與 Android 兩天陣營,其中 iOS 因為是蘋果一家獨有、沒有授權給其他品牌使用,相較於 Android 系統創立之初就由 Google 與數十家硬體品牌共創「開放手機聯盟」共同研發系統,同時系統部份原始碼也採用開源方式加速了開發效率與完成度,因此通常說到 iOS 都會被稱作「封閉式系統」,而主要原因之一也是在於用戶隱私與安全的防護,像是惡意程式最常入侵的方式就是植入 APP 之中,以夾帶方式進入系統中,而蘋果的 App Store 都會經過審查而避免這樣的狀況方式,相對的 Android 系統開放使用者以 APK 形式安裝非 Google Play 來源的應用程式,相對更容易受到侵害。

▲iOS 系統不斷進化更新,帶來更多元的應用功能,但相對更為封閉的系統設計雖然一定程度保護使用者避免惡意程式的侵害,但卻也可能造成隱藏的系統漏洞,更難快速被找到並及時修補。

不過雖說 iOS 的封閉式設計對於資安防護有所幫助,但相對的,若系統出現漏洞,通常就會造成相當嚴重的後果,同時在只有蘋果團隊針對 iOS 系統進行維護的情況下,有些潛在的系統漏洞更不容易被發現。

▲相較之下,三星 Galaxy 手機中的 Samsung Knox 技術是由三星與處理器製造商、行動通信營運商、資安研究 / 學術單位與線上資安研究社群所共同建構出來的,自然安全性更為完備。

相對的,使用 Android 系統的廠商較多,這也讓系統漏洞更容易被發現、更為容易快速修補,同時也能集結各家廠商的技術力,儘可能考量到使用者的實際情境,並預判可能的漏洞並及時修補。像是三星就與 Google、思科等科技大廠保持密切合作,如三星的 Galaxy 手機、平板電腦就是基於 Android 的強化安全平台與智慧安全服務而打造;而三星也與無線通訊大廠思科合作,透過 OpenRoaming 技術提供 Wi-Fi 的安全連結與加密接入傳輸,以避免連結受到窺探與側錄。當然,面對資安威脅每日更新的高頻率,三星也和 SoC 製造共同設計硬體元件,並與 Linux 安全研究社群、各國行動營運商保持密切合作,以做到保護三星設備不受攻擊。

總結

對於 iPhone 用戶來說,發展超過十年以上的 iOS 作業系統不斷演化升級,自然也沒有忽視使用者對於個人隱私與使用行動裝置時在資訊安全層面的需求,畢竟時至今日,智慧型手機在功能性與日常應用面都要比過往更複雜、更多元,人們生活中的大小事都能靠手機來完成,同時也有大量個人信息與隱私資料儲存其中,自然而然也讓使用者更需要好好關注自己使用的手機是否「足夠安全」。

在綜合上面的分析之後,我們也不難發現到,針對大家所重視的資安與隱私防護,其實 iPhone 多年來一直都有不斷的進步與革新,且 Apple 自家各個裝置的平台安全性也都不斷強化。但相較於 Android 陣營的百花齊放,蘋果畢竟是一枝獨秀,不見得能夠 100% 做到盡善盡美。

相較之下,三星的 Galaxy 系列在資安防護的整體規劃方面,確實是有不少值得蘋果學習之處,其中包括 Samsung Knox 的全天候系統防護機制、硬體元件高標準的安全認證、本地端即可安全存放資料的安全資料夾,以及與各家科技大廠保持緊密聯繫、 共榮共好的合作關係,相信這些做法都有蘋果可以借鑑之處。

更多資訊可以參考官網:請點此

延伸閱讀》

如果想知道更多關於 Apple 的消息、教學、小技巧或是科技新知,一定要點擊以下任一 LOGO,追蹤我們的 Facebook 粉絲團、加入官方 Line 帳號、訂閱 IG、YouTube 以及 Telegram。

加入LINE好友  追蹤FB粉絲團  追蹤 Instagram  訂閱 YouTube  訂閱 Telegram

*本文章內容由合作廠商提供,蘋果仁協助刊登