相较于过去大家比较常使用电脑、笔电上网，近几年功能愈来愈完整且拥有极高行动力的智慧型手机、平板电脑慢慢已经成为现代人不可或缺的重要工具，但也因为这类型的行动装置几乎人手一机，对于它的功能性更为依赖，同时在应用上包办了生活、社交、工作、消费与娱乐…等不同层面，也因此行动装置中难免会有各式各类的使用者个资，包括联络人、照片影片、社群平台资讯，甚至还有各式行动支付、金融服务的资讯，相对的「含金量」更胜一般的电脑。

而上述的状况，也正是近几年资安方面的攻击逐步集中在行动平台上的主要原因，除了常见透过简讯、即时通讯或社交平台进行钓鱼诈骗的攻击，甚至有更多恶意程式或骇客攻击，都锁定了大家的智慧型手机与平板电脑，但绝大多数的用户多半不会特别重视行动端的资安防护机制，因此很容易成为个人隐私外流的一大破口。

近几年多个资安报告都指出智慧型手机等行动装置有愈来愈多恶意程式与黑客入侵的事件发生。

为了让大家进一步了解行动平台的资安防护，作为资深果粉也将透过这篇文章，来为大家进一步分析许多人喜爱使用的iPhone，到底在资安防护方面「够不够力」！

基本功：iPhone 面对疑似资安攻击，该如何预防？

如同前面提到，相较于过去骇客与恶意程式多半锁定电脑平台来攻击与感染，现今的资安攻击更着重于普及率更高、使用者众多的智慧型手机、平板电脑等行动装置平台，而且包括苹果的iOS 作业系统与Google 的Android 作业系统都无一幸免，尤其是针对系统漏洞的攻击更是防不胜防。

像是前不久较知名的ColdInvite 就利用了系统漏洞获得系统内核的读写权限，若使用者没有及时更新到新版系统，就有可能遭受入侵，最新版本的ColdInvite 甚至还能绕过iPhone、iPad 内的副处理器的防护机制，令人防不胜防，也因此有不少防毒防骇程式也针对iOS 装置提供防护功能，对于用户来说的确有额外警示资安风险与避免危险操作行为的效果，但相对的也可能会造成系统运行额外的负担，尤其是使用机型较为老旧的使用者更是相对更有感。

今年五月份，苹果设备安管标准厂商Jamf 发现到苹果装置内的副处理器的漏洞仍未被先前系统更新解决，ColdInvite 漏洞可允许攻击者绕过安全机制进入处理器内核并置入恶意代码。

也因为骇客与恶意程式的感染会透过系统漏洞入侵，并将后门程式植入记忆体中常驻，再进一步侧录传输的资料，或是进一步进系统权限的改写等攻击行为，若使用者有发现到手机可能有异常状况（像是手机电量快速损耗、程式经常闪退或是手机发热…等），最简单的方式就是定期将手机关机后重启，让记忆体内的程式完全卸载，而这样的动作也让骇客需要再重新利用漏洞进行手机的远端入侵，进一步提升取得手机权限的门槛，不过若是手机真的受到恶意攻击，这种方式只能治标、无法治本，最终还是得要做系统的出厂重置，才可能彻底「根治」。

▲三星的Knox Vault 安全平台提供了「全天候防护」功能，在设备开机期间都能提供完整的即时防护。

相较于iPhone 与其他大部分Android 手机，三星Galaxy 手机对于资安防护就更为严密许多，早在十年前三星就将Samsung Knox 安全防护机制导入Galaxy 系列手机之中，打造出更具安全性的系统环境，而发展多年后形成的Knox Vault 安全平台功能更是全方位，其中「全天候防护」机制就能确保手机在开机时能提供即时防护，也让使用者无需进行定期重开机的动作。

▲Knox Vault 内建的「即时内核保护」技术架构，让存取需求都需透过检核验证，且仅提供关键元件的唯护权限，可避免常见的内核攻击行为。

之所以Knox Vault 可以到全天候防护，主要在于「「即时内核保护（Real-Time Kernel Protection, RKP）」的专利技术，在无需额外设定的情况下，内建Knox 的三星Galaxy 装置开机时就会无缝运行，而系统内核的任何指令执行都会透过RKP 进行验证后执行，系统关键元件也仅提供唯读权限，借此防止最常见的内核攻击行为。

此外，Knox Vault 中也内建有「漏洞预测（Deafeat Exploit, DEFEX）」技术，可以侦测、防止用户设定的存取权限遭到可疑或未经授权的修改，阻止应用程式的异常行为。

硬体层面：iOS 透过「安全隔离区」提升安全性，但并非万无一失？

对于资安防护，仅针对软体层面进行骇客、恶意程式的防堵已经完全不足，透过硬体层面进行防护整合的效果将会更为即时，像是电脑平台常见的Intel Core 系列处理器就针对商务市场推出「vPro」版本的处理器，直接将资安相关的防护功能如网路截断、通讯加密、信任模组…等功能整合其中，从而防止恶意攻击造成的损害。

▲苹果的「安全隔离区」架构。

而苹果的iOS 装置也有类似的硬体机制，在iPhone 5s、iPad Air 之后的行动装置，Apple 就导入了「安全隔离区（Secure Enclave） 」的安全子系统功能，本身虽然整合于SoC 中，但却有专属的「系统副处理器」来维持运作，并与主要处理器区隔，同时也有专属的「记忆体保护引擎」以密钥方式进行记忆体区块的加密与解密，以达到强化安全防护的效果。

不过苹果这样的硬体防护机制虽然看起来万无一失，但实际上却也曾经「翻车」过，知名的iOS 越狱团队在2020 年的行动安装资讯峰会就找到了安全隔离区的系统副处理器的漏洞，可能成为受攻击的目标，也让用户的密码、Apple Pay 资讯、Face ID 等资讯在不需密码验证的情况下被取得，虽说后续新版本的处理器已经修补了这项漏洞，但也能看出这样硬体层级的资安防护机制仍有不足之处。

▲Samsung Knox 考量到硬体架构，将Knox Vault 机制整合至处理器、储存元件与记忆体之中，同时硬体供应链也需通过CC 安全认证。

相对的，苹果最大的对手三星很早就开始硬体层面的资安整合，除了Samsung Knox 本身在架构上就考量到硬体层面的防护，其中与手机运作息息相关的处理器、记忆体与储存晶片都考量到资料处理、传输与储存时的安全性，同时三星也从供应链端着手，推动关键元件的安全认证，而三星Galaxy 手机也采用多数国家资讯安全产品普遍认可的Common Criteria 认证，并要求达到军事使用的EAL5+ 认证，因此除了抵御软体面的攻击，甚至硬体面的雷射或电源故障等物理入侵也无法破解，即使手机遗失或遭窃，也不用担心其中储存的资料会有被破解或外流的疑虑。

储存资料更有保障：进阶资料保护终于来了，但…

针对手机中储存资料的防护，去年在其他国家测试中的iCloud 进阶资料保护功能终于在全球正式开放，除了原有14 类型资料进行传输的点对点加密，若是开启进阶资料保护，可加密的资料类型将扩充至23 类之多，包括iCloud 备份、照片与备忘录…等，受保护的资料也只能在受信任的装置进行解密，即便云端资料外泄也不用担心内容会曝光（未开启前， iCloud 上的资料会是非加密状态），以达到个人隐私的终于防护。

▲今年全新开放至iOS 的iCloud 进阶资料保护功能，开启后能够限定特定装置才能解锁iCloud 上同步的内容。

虽说iCloud 进阶资料保护功能可以一定程度提高使用者对于手机资料保护的安全性，但毕竟这个机制本身还是得透过iCloud 进行传输与加解密，使用起来可能不这么直觉，相对的三星Galaxy 手机的Samsung Knox 所提供的「安全资料夹」就要简单许多－透过Knox 技术直接在手机中划分一个独立的系统区块，与原本的作业系统完全区隔，而且除了资料储存，也能在安全资料夹中安装各类型的应用程式，而且同样与原本的系统区隔，因此非常适合使用同一支手机处理公务与私人用途的使用者，透过安全资料夹的机制就能最简单快速地把机密敏感的资料安全加密在手机之中，无需额外的设定或是要上传到云端，使用上更省心省力。

▲Samsung Knox 的「安全资料夹」能在手机原有系统中独立区分一个受到加密保护的子系统，并提供私密档案储存与独立应用程式安装的功能，让同一支Galaxy 手机做到「公私分明」 。

iPhone 的封闭式系统，对资安来说是优点，也是缺点

目前市场上的两大智慧型手机就属iOS 与Android 两天阵营，其中iOS 因为是苹果一家独有、没有授权给其他品牌使用，相较于Android 系统创立之初就由Google 与数十家硬体品牌共创「开放手机联盟」共同研发系统，同时系统部份原始码也采用开源方式加速了开发效率与完成度，因此通常说到iOS 都会被称作「封闭式系统」，而主要原因之一也是在于用户隐私与安全的防护，像是恶意程式最常入侵的方式就是植入APP 之中，以夹带方式进入系统中，而苹果的App Store 都会经过审查而避免这样的状况方式，相对的Android 系统开放使用者以APK 形式安装非Google Play 来源的应用程式，相对更容易受到侵害。

▲iOS 系统不断进化更新，带来更多元的应用功能，但相对更为封闭的系统设计虽然一定程度保护使用者避免恶意程式的侵害，但却也可能造成隐藏的系统漏洞，更难快速被找到并及时修补。

不过虽说iOS 的封闭式设计对于资安防护有所帮助，但相对的，若系统出现漏洞，通常就会造成相当严重的后果，同时在只有苹果团队针对iOS 系统进行维护的情况下，有些潜在的系统漏洞更不容易被发现。

▲相较之下，三星Galaxy 手机中的Samsung Knox 技术是由三星与处理器制造商、行动通信营运商、资安研究/ 学术单位与线上资安研究社群所共同建构出来的，自然安全性更为完备。

相对的，使用Android 系统的厂商较多，这也让系统漏洞更容易被发现、更为容易快速修补，同时也能集结各家厂商的技术力，尽可能考量到使用者的实际情境，并预判可能的漏洞并及时修补。像是三星就与Google、思科等科技大厂保持密切合作，如三星的Galaxy 手机、平板电脑就是基于Android 的强化安全平台与智慧安全服务而打造；而三星也与无线通讯大厂思科合作，透过OpenRoaming 技术提供Wi-Fi 的安全连结与加密接入传输，以避免连结受到窥探与侧录。当然，面对资安威胁每日更新的高频率，三星也和SoC 制造共同设计硬体元件，并与Linux 安全研究社群、各国行动营运商保持密切合作，以做到保护三星设备不受攻击。

总结

对于iPhone 用户来说，发展超过十年以上的iOS 作业系统不断演化升级，自然也没有忽视使用者对于个人隐私与使用行动装置时在资讯安全层面的需求，毕竟时至今日，智慧型手机在功能性与日常应用面都要比过往更复杂、更多元，人们生活中的大小事都能靠手机来完成，同时也有大量个人信息与隐私资料储存其中，自然而然也让使用者更需要好好关注自己使用的手机是否「足够安全」。

在综合上面的分析之后，我们也不难发现到，针对大家所重视的资安与隐私防护，其实iPhone 多年来一直都有不断的进步与革新，且Apple 自家各个装置的平台安全性也都不断强化。但相较于Android 阵营的百花齐放，苹果毕竟是一枝独秀，不见得能够100% 做到尽善尽美。

相较之下，三星的Galaxy 系列在资安防护的整体规划方面，确实是有不少值得苹果学习之处，其中包括Samsung Knox 的全天候系统防护机制、硬体元件高标准的安全认证、本地端即可安全存放资料的安全资料夹，以及与各家科技大厂保持紧密联系、 共荣共好的合作关系，相信这些做法都有苹果可以借鉴之处。