Apple 生態系的真實威脅—我們都可能是目標

Glee Tsai

08 Nov 2025 — 6 min read

從一場分享開始的警醒

前陣子在 Jamf Nation Live Taipei 分享了 2024-2025 年 Apple 裝置威脅報告，深入探討了全球 Apple 生態系正面臨的資訊安全威脅。

許多人對 Apple 產品有一種根深蒂固的信心—拿著 Mac 或 iPhone，就像拿到了數位世界的「免死金牌」。說實話，Apple 在軟硬體整合上的安全設計確實領先業界，這不是誇大其詞。但也正因為這份信心，我開始想更深入地了解真實情況。

從 Jamf Security 360 報告開始，我觀察了全球情報機構（如 Citizen Lab、Google TAG、Kaspersky）揭露的真實案例。那時我才意識到一個有點殘酷的事實，也正好對應了同事最常對我說的那句話：Apple 設備並非堅不可摧，使用者自身往往才是最大的弱點。

為什麼 Apple 用戶成了高價值目標

現在全球有 62% 的網路流量來自手機與平板這些行動裝置，不再是桌機的天下。換句話說，我們用 iPhone 滑社群、看影片的同時，也在用它存取公司資料、處理敏感資訊，甚至進行金融交易。

而 Apple 產品在全球商務、政府機構、媒體及高階主管間的普及率極高。這讓 Apple 生態系成為國家級攻擊者與商業間諜軟體公司眼中的「高價值目標集中地」。也難怪駭客開始認真鑽研 Apple 漏洞，他們在乎的不是癱瘓你的電腦，而是長期潛伏監控，越久越好。

誰會被盯上？其實是比你想的還要寬廣

這些攻擊者主要針對四類高風險族群：政府官員、金融與科技業的決策人物、媒體及人權工作者，以及醫療業的關鍵人員。

2023 年，埃及前國會議員 Ahmed Eltantawy 在大選期間遭到植入名為「Predator」的商業間諜軟體監控。他被監控了兩、三年後，才開始懷疑自己是否遭受攻擊，但這已經太晚了。

這裡有個容易被忽視的真相：我們或許不覺得自己是所謂的「大人物」，但任何人都可能成為攻擊目標，差別只是攻擊的級別與方式。

最容易被忽視的威脅：社交工程

從最低門檻的手段開始：社交工程。攻擊者試圖取得我們的個人資訊，藉此進行威脅或詐騙。

有個數據很有趣：「iOS 使用者中釣魚的機率比 Android 使用者高了 7%」。為什麼？正是因為大家覺得 iPhone 很安全，反而放鬆了警戒。資安訓練也不見得頻繁。結果呢？Netflix 到期通知、物流簡訊、公司的重設密碼信件…等等，這些釣魚手法在 iOS 使用者身上十分有效。

另一個極端：零日攻擊與傭兵軟體

Apple 生態系面臨的威脅可以分成兩個極端。一邊是社交工程的低門檻，另一邊則是高度依賴技術漏洞的「零日攻擊」。

這類頂級威脅透過零點擊與傭兵間諜軟體運作，受害者無需任何操作，只要收到一則 iMessage、FaceTime 呼叫，甚至是隱形日曆邀請，就能自動觸發漏洞並植入惡意程式。

2023 年的 Passkit 漏洞就是經典例子。駭客只要透過 iMessage 發送一份登機證，就能控制目標 iPhone、打開相機、監聽背景聲音。當然，這些漏洞都已被 Apple 修補，但問題在於：駭客發現漏洞的速度，不比 Apple 修補的速度慢。2024 年 Apple 找到 29 個漏洞，但光是 2023 年就有 16 個零日漏洞被駭客實際利用過。

看不見的鏈條：供應鏈攻擊

還有一種容易被忽視的攻擊：「供應鏈的薄弱環節」。這是所有工程師與 IT 專業人員都必須認真面對的課題。

作為軟體開發者，我們習慣於利用各種程式庫與開發工具來提高生產力。我的實踐經驗是：懶惰是人類的天性，也經常是駭客的溫床。

2015 年的 XcodeGhost 事件就是深刻教訓。這是 Apple 生態系首度大規模惡意軟體入侵。攻擊者在中國伺服器上散佈被植入惡意程式碼的 Xcode（iOS 開發工具），導致超過 4,000 個 App 在不知情下帶有後門，影響數億用戶。

這提醒了我們：即使是看似無害的工具或 SDK，也需要透過學習與警覺心來審視其安全性。

我們能採取的實戰防禦

許多惡意軟體（如 LightSpy）仍在利用已知的 Apple 漏洞攻擊未升級的舊版系統。根據調查，大約 55% 存取公司資源的裝置作業系統存在漏洞，這代表著一半的人並沒有在第一時間更新系統。

對個人用戶而言：
首先是強化帳戶保護。使用生物識別的雙因子驗證、或採用 Passkey 這類既具強大資安能力又不失使用體驗的技術，都是立即能做的動作。更重要的是，提升對釣魚與社交工程的警覺，再安全的裝置也擋不住自己主動交出的資訊。

對 IT 與企業而言：
導入 MTD（Mobile Threat Defense）解決方案，透過行為分析與網路流量監測來捕捉可疑跡象；針對掌握重大資訊的人物進行定期鑑識掃描；建立員工資安訓練的常態機制。不是一次性的培訓，而是持續的、融入工作流程的安全意識養成。

自由並非來自運氣，而是來自清醒的認知

在數位世界中，真正的自由從來不是靠運氣或盲目信任建立的。它基於清醒的認知與持續的實作。

我們享受著 Apple 生態系帶來的便利與生產力。無論是在辦公室、咖啡館，還是旅途中工作。同時，我們也必須理解一個事實：我們手中的裝置，正是全球網路間諜最想攻克的目標。

未來的攻擊門檻會因 AI 持續發展而降低。將資訊安全的警覺心融入生活的每個細節，從升級系統、驗證連結、選擇工具，到檢視每一項權限申請，才是真正能保護自己、並在充滿變數的全球環境中保持可信度的唯一途徑。

這不是杞人憂天，而是身處這個時代該有的成熟思維。

從 Jamf Pro 自定義註冊畫面帶使用者資訊至 Jamf Connect 失敗的處理方式

Jamf Pro 在設定裡面的 Enrollment Customization，本來可以設定在使用者完成設備註冊的當下，同步把 SAML 裡的資訊帶給後面的 Jamf Connect Login，這樣就可以減少一步使用者還需要登入的步驟。但在撰文的當下，Jamf Pro 11.1 仍在這個功能上有問題，在跟 Jamf Support Team 了解後，大概能用一種 Workaround 來解決，只是要特別留意以下事情： 1. 在 Jamf Pro 裡的 Enrollment Customization 不要再打勾 Enable Jamf Pro to pass user information to Jamf Connect 了（因為勾了也沒有用） 2. 確保

在 Apple 零接觸部署下僅允許某個群組啟動設備

在 Jamf Pro 有整合 Single Sign On 的情況下，可以前往 Settings > Enrollment Customization 設定僅允許一個群組中的成員啟用設備。如果這個成員沒有在這個群組裡面的話，就不能夠開箱設備。如果以 Entra ID 為例，需要把 Object ID 填在下方的欄位即可。對照到我在 Entra ID 上的群組設置：至於如果不是 Entra ID，而是其它的 SSO Provider 的話，最好可以用 SAML Tracer 這一套 Google Chrome 外掛去看一下自己的 SAML 文件是如何表達群組的，例如下圖能看到這個使用者屬於以下五個群組。接著有另外一個很重要的事情要提醒，如果你要阻擋註冊的成員，可以登入到 Jamf Pro

在 Conditional Access 條件下設置 Jamf Connect Login 的 MFA 挑戰

Mac 世界的零接觸話題，每年都可以有新的話題出現。圍繞著使用者體驗，讓用戶在拿到電腦的那一刻，就能自動化配置所有公司要求的設定，不需 IT 人員幫忙。這不僅是節省 IT 人員的時間而已，更是讓整個出機流程變得更為流暢。除了軟體與設定可以全自動化部署以外，使用者帳號當然也可以自助化的設定在電腦裡，而且完全按照公司的規範。所以如果公司正在使用 Entra ID 這樣的目錄服務時，當然也可以把 Entra ID 上面的帳密同步化成電腦本機電腦上的帳密，減少人員帳密疲疺的風險。然而，要求更高等級的公司，可能會要求人員在登入 Entra ID 時必須通過兩階段驗證，而這可能就為同步密碼帶來挑戰。以 Jamf Connect 來說，這一套軟體可以在 Mac 設備開箱時自動就安裝在電腦上，並且出現一個可客製化的登入視窗給用戶登入 Entra ID。剖析這套軟體，事實上是由兩個 OIDC 授權類別完成的，一個是 Authorization Code Grant，

搭配 Jamf Pro 設定 macOS Kerberos SSO

Apple 自 2019 年後直接在作業系統裡面內建了 macOS Kerberos SSO Extension 的整合，讓依賴 Microsoft Active Directory 地端環境的公司，現在也能利用 Kerberos SSOe 完成 SSO，這個功能必須要搭配 MDM 才能啟用，沒辦法透過 UI 或 Script 的方式開啟。 Jamf Pro 設定方式前往 Computers > Configuration Profiles > Single Sign-On Extension，並將頁面切換成 Kerberos 後，完成相關的設定。例如： * Realm 就填入 AD 網域的名稱，應該是全大寫的 * Hosts