Jamf揭蘋果裝置資安隱憂過時系統漏洞應用成主因

蘋果行動裝置管理與安全品牌 Jamf 今日發布 2025 年度《Security 360 資安趨勢報告》，基於全球企業 2024 至 2025 年真實威脅案例與產業數據分析，揭示 Mac 與行動裝置面臨的多元資安風險。報告指出，53% 企業仍使用嚴重過時作業系統，95% 應用程式含中度以上漏洞，駭客藉此實施網路釣魚與木馬攻擊。報告由 Jamf 產品策略副總裁 Michael Covington 主導，旨在協助企業提升威脅偵測與應變能力，避免因忽視 Mac 裝置主動防護而暴露於高風險。此分析針對全球企業資安決策者，強調在蘋果裝置普及化趨勢下，系統更新與應用管理已成企業安全核心。

資安威脅主因：過時系統與漏洞應用成企業破口

Jamf 報告揭露，企業資安防護的關鍵缺口集中在系統更新與應用管理。過去一年調查顯示，53% 企業的行動裝置仍運行過時作業系統，而 Mac 裝置中更有 58% 未升級至安全版本，導致系統完整性受損。更嚴重的是，73% 的 Mac 裝置安裝至少一個含漏洞的應用程式，其中 95% 的應用程式存在中度以上安全缺陷，駭客可透過這些漏洞竊取資料或植入惡意程式。Jamf 亞太區資深技術顧問蔡學欣強調，企業常因顧慮應用程式相容性而拖延更新，卻未意識到漏洞會直接導致資料外洩。例如，2025 年檢測到的 26,000 個惡意程式樣本中，逾半數利用過時系統的未修補漏洞進行攻擊，尤其針對企業常用辦公軟體的零日漏洞。此現象反映企業安全策略與技術更新速度嚴重脫節，使資安團隊陷入「修補疲勞」困境。

四大威脅類型演進：木馬攻擊與進階滲透手法升級

報告細分當前企業面臨的四大資安威脅，並揭示攻擊手法的精進趨勢。首當其衝是木馬程式，佔 2025 年所有攻擊的 50% 以上，遠高於 2024 年的資訊竊取與廣告程式。其中，PuAgent 惡意程式以 16.41% 的比例成為最普遍威脅，取代過往的 Genio 廣告程式（2025 年僅佔 7.19%）。其次為進階持續性滲透集團（APTs），他們結合零點擊攻擊與瀏覽器漏洞，如針對 WhatsApp 的影像解析漏洞 CVE-2025-43300，使間諜軟體 Intellexa 能透過一鍵式攻擊大規模散播。網路釣魚仍是高發管道，25% 企業員工遭騙點擊釣魚連結，18% 員工連線至高風險 Wi-Fi 熱點，導致企業資料暴露於公共網路風險。報告指出，駭客正將傳統手法與 AI 技術結合，例如利用 JavaScript 自動化漏洞利用，使攻擊效率提升 300%，企業需重新評估現有防護架構的應對能力。

企業應對策略：主動防護取代被動修補成關鍵

面對威脅升級，Jamf 報告呼籲企業轉向「主動防護」模式，而非依賴事件發生後的應變。Mac 裝置在企業端普及率顯著增長，2025 年出貨量達 270 萬台，市場佔有率年增 16.4%，但安全措施未同步跟進。報告揭露，44% 的 Mac 裝置偵測到惡意網路流量，26% 遭遇加密貨幣挖礦劫持，顯示企業資安邊界已擴大至裝置使用全鏈。Jamf 建議企業採取三項核心措施：其一，強制實施自動化系統更新機制，確保所有裝置維持最新安全版本；其二，建立應用程式安全審查流程，針對 62% 需要危險權限的應用程式進行限制；其三，透過 Gatekeeper 與 Transparency, Consent, and Control（TCC）等蘋果原生安全功能，封堵未經授權的權限存取。蔡學欣補充，企業應參考 Jamf Threat Labs 數據，將資安預算分配至漏洞管理與員工訓練，而非僅依賴傳統防火牆。尤其在 Mac 裝置佔比提升的背景下，資安團隊需每季更新威脅情資，避免因「已更新」的假象而忽略潛在風險。