苹果更新平台安全指南：Apple Silicon Mac将不支持内核扩展

蓝天二号

MacRumor 报道称，苹果刚刚修订了新版“平台安全指南”，其中全面概述了有关 iOS 14、iPadOS 14、macOS Big Sur、tvOS 14、watchOS 7 等平台的最新安全特性。例如，文档中提到了 iOS 14 和 macOS Big Sur 上的 Safari 浏览器可选的密码泄露监测（Password Monitoring）功能。

顾名思义，这项安全特性能够自动监测已曝光的数据泄露事件，并在分析用户已保存的密码可能发生泄露时给出及时的警告。

此外苹果概述了 iPhone / Apple Watch 很感兴趣的数字汽车钥匙功能，且在序言中更新了该公司的“安全承诺”，宣称自家各个平台的芯片设计所具有的安全优势：

苹果仍在继续突破安全和隐私边界，比如今年，采用 Apple SoC 的设备，就涵盖了从 Apple Watch 智能手表、到 iPhone 智能机 / iPad 平板电脑、以及 Mac 的全系产品线。

定制芯片不仅为高效计算提供了支撑，还带来了更全面的安全性支持。苹果自研芯片为安全启动、Touch ID / Face ID、数据保护、以及 Mac 上前所未有的系统完整性功能（包括内核完整性保护 / 指针身份验证代码 / 快速权限限制等）奠定了基础。

这些完整性功能有助于防止针对内存、操作指令、以及在网络上利用 javascript 开展的常见攻击手段。将之结合到一起，还可确保即便攻击者的代码能够以某种方式被执行，也可极大减少其可能造成的损害。

Apple Silicon Mac 方面，文档概述了该平台的引导过程、引导模式、磁盘启动，还有针对为 Intel Mac 而打造的应用程序的 Rosetta 2 转换过程、FileVault 保险箱、以及激活锁等在内的安全特性。

与预期的一样，新指南证实了将来的 Apple Silicon Mac 将不支持内核扩展：

除了使用户能够运行旧版 macOS 之外，此举还需降低安全性、以执行其它可能导致用户的系统安全性收到威胁的操作，比如引入第三方内核扩展（kexts）。

Kexts 具有与内核同等的特权，因而第三方 kexts 中的任何漏洞，都可能导致操作系统遭受完全的损害。

这也是我们为何强烈建议开发者采用系统扩展，然后再从 macOS 中剔除 kext 支持，以更好地支持未来的 Apple Silicon Mac 的一个重要原因。

据悉，macOS Catalina 是完全支持内核扩展的最新版本。随着苹果不再建议使用内核扩展，后续用户有望迎来操作系统完整性和可靠性的进一步增强。

此外从 macOS Catalina 开始，开发者已经能够在用户空间（而不是内核级别）运行的系统扩展。

苹果指出，此举可向系统扩展授予执行特定任务所需的部分特权，进而提升 macOS 的稳定性和安全性。

最后，我们在“平台安全指南”中的“文档历史修订记录”部分看到了所有新内容和变动信息，且获悉苹果还拥有一个新的安全认证与合规中心。