Jamf安全報告揭露蘋果裝置漏洞過時OS與惡意應用成重大威脅

Jamf今日發布2025年Security 360資安趨勢報告，分析全球企業Mac與行動裝置最新資安威脅。報告基於過去一年真實案件、產業事件及威脅研究，揭示駭客主要利用漏洞應用程式、過時作業系統等管道攻擊企業。數據顯示53%企業裝置仍使用嚴重過時系統，95%應用含中度漏洞，62%要求危險權限。Jamf產品策略副總裁Michael Covington強調，忽視Mac與行動裝置主動防護將使組織暴露高風險，導致資料外洩或業務中斷。此報告旨在提升資安決策者認知，協助企業制定有效防護策略，避免因輕忽漏洞造成系統性崩潰。報告分析涵蓋全球企業案例，提供具體數字與操作指引，為企業安全規劃提供關鍵依據。

資安威脅核心分析

報告詳細歸納企業面臨的四大威脅類型，揭示攻擊手法日益精密化。首先，過時作業系統問題觸目驚心，53%企業行動裝置及58% Mac裝置仍在使用舊版系統，缺乏最新安全補丁。例如，未更新的iOS 15或macOS Monterey因未修補CVE-2024-0987漏洞，遭駭客利用進行遠端程式碼執行。其次，應用程式擴大攻擊面，95%應用含至少一個中度漏洞，62%要求危險權限如通訊錄存取或位置追蹤，21%甚至竊取使用者隱私數據。資安專家指出，開發者常忽略安全測試，導致應用程式成為「隱形後門」。第三，網路釣魚持續主導攻擊，25%企業使用者遭騙點擊惡意連結，18%員工連線高風險Wi-Fi熱點，使企業資料暴露於公共網路風險。最後，進階持續性滲透集團結合零點擊攻擊與瀏覽器漏洞，如CVE-2025-43300針對WhatsApp的影像解析漏洞，使間諜軟體Intellexa能透過一鍵式攻擊大規模散播。此類攻擊已導致多家企業遭竊取核心商業機密，顯示單一防護層已無法應對複合式威脅。

Mac裝置威脅演變趨勢

Mac裝置在企業普及率急速攀升，市場佔有率從2024至2025年成長16.4%，2025年出貨量達270萬台，成為工作場域主流設備。然而，威脅形態隨之複雜化，44%裝置偵測到惡意網路流量，26%企業遭加密貨幣挖礦劫持，Jamf Threat Labs 2025年記錄超過26,000個惡意程式樣本。木馬程式登頂攻擊榜首，佔所有攻擊50%以上，取代2024年資訊竊取程式。具體而言，PuAgent成為最普遍惡意程式（16.41%），而過去盛行的Genio廣告程式（2023-2024年佔13.63%）下滑至2025年第四名（7.19%）。蘋果雖建置Gatekeeper、系統完整保護（SIP）及透明性同意控制等措施，但企業環境中Mac數量增長加速駭客目標轉向。例如，2025年針對Mac的攻擊中，90%源自木馬、資訊竊取及潛在不友善程式，顯示內建安全機制難以應對高級威脅。資安分析顯示，台灣企業因Mac普及率高達42%（2025年調查），但安全投入僅佔IT預算15%，遠低於歐美企業的25%，形成明顯風險缺口。此趨勢凸顯Mac安全需從設備層面延伸至應用生態管理。

企業防護策略建議

Jamf亞太區資深技術顧問蔡學欣強調，資安威脅演進速度空前，企業需建立主動防護體系而非被動補救。關鍵策略包括：強制執行作業系統更新，確保裝置運行最新版本以修補漏洞。例如，企業可設定自動更新政策，將Mac OS版本升級至最新版，避免CVE-2025-43300等漏洞被利用。嚴格審核應用程式權限，阻絕危險存取請求，參考報告數據73%裝置含漏洞應用，應採用應用程式白名單制度，僅允許經安全驗證的軟體。實施網路釣魚演練，提升員工辨識能力，如模擬釣魚郵件測試，將25%受騙率降至10%以下。此外，企業應採用整合式終端管理平台，如Jamf的解決方案，實時監控裝置狀態並自動阻斷威脅。報告建議參考NIST資安框架，建立「零信任」架構，限制裝置存取企業資源，並制定快速應變小組。台灣企業需特別注意，因Mac普及率高但安全意識薄弱，可參考國際案例：2024年某台灣金融機構因未更新iOS 16導致勒索軟體入侵，損失高達新台幣1.2億元。蔡學欣補充，主動防護需從高層推動，將資安納入企業文化，例如每季進行裝置安全審查，而非僅依賴系統內建功能。此策略不僅降低風險，更能提升員工對裝置的使用效能，使蘋果設備在安全環境中充分發揮價值。