此前在今年10月,苹果方面发布了一则名为“BSOD(蓝屏死机)”新广告。其中的主要情节,便是主人公使用苹果电脑来提升工作效率,并且在其他电脑蓝屏死机时,Mac安然无恙。显而易见,苹果这个广告调侃了去年夏季Windows全球性蓝屏死机事件,并向外界强化macOS安全性更高的概念。
由于macOS比Windows更安全的印象早已深入人心,因此有相当多消费者选择Mac的理由,正是macOS安全、可靠、稳定。毕竟在过去二十年间,与隔三差五就爆发安全事件的Windows,macOS被病毒感染和恶意软件大规模攻击的消息可谓是寥寥无几。
然而当时间来到2025年,“macOS更安全”可能就成为了刻板印象。近日安全机构Jamf Threat Labs发布了关于macOS的安全报告,其中指出macOS的安全风险日益严峻,Mac的整体感染率正在快速上升。Jamf Threat Labs方面给出的理由更是让人啼笑皆非,因为这并非苹果的安全保护机制高效,纯粹是因为以往攻击macOS性价比低。
一直以来,Windows在全球桌面操作系统市场都占据着绝对主导的地位,并拥有远超macOS的用户数量,特别是Windows在商用市场的统治地位,就使得黑客更倾向于将资源投入到针对Windows的攻击中。如果说以凯文·米特尼克为代表的古早时期黑客实施网络攻击主要是为了“炫技”,那么如今黑客的诉求就更简单,因为他们是为了获利。
要知道网络攻击在全球范围内都是犯罪行为,所以黑客付出了成为罪犯的代价,当然就是为了赚取超额收益。显然,攻击长期占据绝对市场垄断地位的Windows不仅成功率高,而且预期收益也更大。再加上Windows长期致力于服务企业级用户,所以撬开后者的大门所带来的收益更是惊人。
再加上基于Unix的macOS在权限管理和进程隔离方面远胜于Windows,并且苹果通过系统完整性保护 (SIP)限制了用户对关键系统文件和目录的修改权限,也增加了恶意软件深入系统核心的难度。苹果的Gatekeeper机制默认只允许运行来自App Store或经过公证(Notarized)的应用,从而阻止了未经验证的软件能够被随意安装。
与此同时,以App Store为核心的应用分发渠道,也大幅减少了恶意软件的传播途径。相比之下,Windows用户获取软件的渠道就过于丰富了,既有微软应用商店、软件的官网,还有无数来源未知的下载站。虽然自由开放这一特质为Windows带来了软件兼容性更好的优势,但埋下了安全隐患。
简而言之,在相当长的一段时间里,macOS其实是黑客眼中的“鸡肋”,不仅缺乏“油水”,而且攻击难度更高。
转折点出现在2020年,在这一年的秋季新品发布会上,苹果方面推出了基于Arm架构的自研芯片Apple Silicon,Mac产品线也自此从x86架构切换到了Arm架构。
M1芯片的诞生标志着苹果完成生态统一,也使得macOS从此解决了一个困扰多年的顽疾,那就是普适性。在切换到Arm架构前,Mac的境遇与汽车领域的皮卡有些类似,那就是都有着鲜明的特定使用场景。
可是皮卡能干的活,普通汽车就一定干不了吗?不完全是,但在皮卡有优势的地方,普通汽车做得显然就没有皮卡好。
由于长板突出的同时,短板也很明显,再加上macOS的市占率低,所以开发者单独为其适配软件的热情也不高,因此就导致包括游戏、工业软件在内的大批应用无法在macOS上运行。这也是为什么过去Mac的用户画像,往往是媒体人、艺术家、创意工作者、码农。
Apple Silicon的出现让macOS得以无缝对接成熟的iOS生态,使得Mac从此变成了能适配绝大多数人的电脑。统计机构StatCounter公布的数据显示,截至2025年4月,macOS的市占率达到15.64%,甚至在中国市场的份额也历史性地突破了10%。
随着macOS用户规模的快速扩张,再叠加Mac产品本身价格更高的现实,黑客自然就发现了这个“新”的肥羊。与此同时,黑客其实也面临着“税基”萎缩的危机,有越来越多的企业选择拒绝向其支付赎金。网络安全公司Coveware在2025年10月末发布的报告就表明,2025年第三季度只有23%的企业向黑客支付了赎金、创下历史新低,而在2019年这个数字则达到了85%。
再加上“Gatekeeper”或者说“苹果公证”机制难以适应当下的网络安全形势,使得它们成为了macOS的阿喀琉斯之踵,也让Mac用户被黑客攻击的风险快速攀升。作为桌面操作系统,在强大的历史惯性下,App Store没能成为macOS唯一的应用分发渠道,开发者同样能将应用发布在网站上供用户下载、安装。
为了确保开发者自行提供的Mac应用也是安全的,苹果就设计了Gatekeeper机制。其运行模式是开发者将应用上传到苹果的公证服务进行公证,在软件安装过程中Gatekeeper会请求服务器,并根据返回的数据来判断应用是否通过核验。
苹果为macOS设计的公证服务其实是一个简易的App Store上架流程,它在检查软件是否含有恶意内容时,是使用静态应用程序安全测试(SAST),并不需要代码执行,因此就具有速度快、资源消耗低等优势,可代价就是对运行时变量的生成缺乏防御力。
因此当黑客先上传正常的软件代码,待通过苹果公证服务的扫描,并部署到用户设备上时,就会诱导用户下载一个包含恶意代码的依赖库,并引导用户进一步安装包含真正恶意代码的组件。这种层层递进的传播方式,就极大降低了普通用户的防范意识,使得攻击的成功率大幅提升。
所以从某种意义上来说,Mac在过去数年的优秀表现,反而让用户面临的风险变大了。
【本文图片来自网络】
