近日有科技社群热烈讨论，苹果的手机硬件漏洞遭破解，呼吁重要人士更换或升级持有的苹果手机，否则手机内的敏感资料或隐私，可能被有心骇客窃取的议题。专家建议面对这类高技术门槛攻击，苹果使用者可透过4动作减缓影响，包括养成定期重新启动手机的习惯，手机尽量不离身，若手机遗失，可考虑启动远端资料清除机制，以防第三人窥视，手机维修前应事先备份，并完整清除手机上的所有资料。

KPMG安侯建业数位科技安全团队负责人谢昀泽执行副总表示，这次被命名为checkm8的苹果手机漏洞，确实在资安界被誉为“史诗级技术”的震撼发现，因为有3项过去手机技术漏洞罕见的“三无”特色，包括一、无密码攻击。此一漏洞可绕过苹果手机认证的帐密、指纹与人脸辨识验证，直接取用手机内资料，不需要使用传统社交工程骗取密码，或进行其他远距攻击。

二、无软件更新。此一漏洞为少见的硬件漏洞，针对存在于手机CPU芯片内部，在开机时最先执行的只读内存（Bootrom），并非传统撬开iOS或APP。除非更换硬件，否则无法透过软件升级来直接修补。

三、无特定版本。此一漏洞几乎所有的市面上热门苹果手机、平板、手表、音箱皆受到波及（较新硬件的iPhone XS、iPhone11系列等除外）。

面对这个罕见漏洞，iPhone使用者是否需要如部分网络社群的建议，直接更换手机？谢昀泽认为面对所有资安风险，应该从实际面临的漏洞程度与威胁概率来合理判断。以此漏洞事件状况进行深入分析，目前所发现的硬件漏洞的确很经典，但是骇客执行成本很高，攻击效益太低，所以发生在一般使用者手机上的概率不高。

谢昀泽进一步解释，骇客攻击成本高、攻击效益低的原因，是因为有心人需要实际窃取特定人物的实体手机，有高难度且耗费很多时间。取得手机后，还要再实机连通特定的电脑设备，设法进入手机的开发固件升级（DFU）模式进行攻击，且攻击程式在每一次手机重新启动时，都需要重新取得实体手机重新设定。这样繁琐的过程与高门槛，缺乏规模化、自动化与直接财务诱因，对现今恶意骇客而言，非常的“厚工”。

谢昀泽补充，即使手机被入侵且被成功安装后门程式，欲进行监听或资料长期窃取，目前最新的iOS在手机重开后，也会有相关安全机制，可以抑制被恶意植入的程式运行。因此，谢昀泽建议，面对这类高技术门槛的攻击，苹果使用者其实只需要简单做到4动作，就能有效减缓此一事件所产生的影响。

首先、养成定期重新启动手机的习惯，避免长期不关机；二、手机尽量不离身，或应置于安全区域。三、如手机遗失，可考虑启动远端资料清除机制，以防第三人窥视。以最新版的iOS 13为例，开启新版“寻找”APP，然后点一下“装置”标签页，选取要远端清除的装置后，向下卷动并选择“清除此装置”；四、手机硬件需要交给厂商维修前，应事先备份，并完整清除手机上的所有资料。

谢昀泽认为，如果没有购机成本限制，不嫌换机麻烦且有资料遗失风险，手机内又存有机敏资料的政商要员或影剧巨星等骇客眼中的“高价值目标（High Profile Targets）”人士，当然也可以考虑直接升级或更换手机，只是未来手机的各种软硬件漏洞被揭露将越来越多，对所有使用者来说， “有个好习惯，远比有支好手机更安全”，一般手机使用者不需要过度恐慌。