从昨天起,不少 iPhone 用户的设备都弹出了苹果的紧急安全提醒,屏幕上醒目的「需安装重要软件更新」字样,让不少人心里一紧。这次的提醒覆盖范围远超预期,不仅是 iOS 13、iOS 14 这类老旧系统,就连 iOS 17 的用户也纷纷收到通知,苹果更是直言,当前设备正处于安全风险范围内,建议立即更新系统。
其实早在本月,苹果就曾在一份支持文档中预告过相关更新,当时仅提及会针对 iOS 13、iOS 14 推送补丁,谁也没想到,此次安全预警会覆盖到近乎全版本的 iOS 系统,这也从侧面印证了这次漏洞的严重性,已经到了苹果不得不全面重视的地步。
根据谷歌等知名安全机构的最新报告,此次被发现的漏洞对应的攻击工具主要有两款,分别是针对老旧 iOS 系统的 Corona,以及针对较新版本的 DarkSword(相关信息来自 Lookout)。更可怕的是,这些漏洞利用方式已经被整合进了恶意网页中,攻击手段简单到让人防不胜防。
用户只要在不知情的情况下,点开或访问了被植入恶意代码的网页,设备如果运行的是存在漏洞的 iOS 版本,攻击者就能在无任何弹窗、无任何提示的情况下,直接远程获取设备中的敏感信息 —— 短信、联系人、手机相册、iCloud 云端数据,甚至是各类 APP 的登录密码,整个窃取过程全程隐蔽,用户几乎毫无感知。
雪上加霜的是,这类漏洞利用工具目前已经被公开在了 GitHub 平台上。攻击链的开源,意味着原本需要专业技术的攻击手段,现在门槛大幅降低,任何具备基础电脑知识的人都能轻易使用。这也就意味着,未来网络中很可能会出现大量被植入攻击代码的网页,iPhone 用户的上网安全面临着前所未有的挑战。
面对严峻的安全形势,苹果已经迅速采取了补救措施。一方面在最新的 iOS 26 系统中彻底修复了相关漏洞,另一方面也为不支持升级 iOS 26 的老旧设备,针对性推送了 iOS 15、iOS 16、iOS 18 的安全更新。根据设备机型不同,用户可自行检测升级到 iOS 15.8.7、iOS 16.7.15、iOS 18.7.7 或 iOS 26 最新版本,这也是目前最直接的安全防护方式。
针对大家最关心的几个问题,这里也逐一给出明确答案:有用户问,平常只访问正规网站,是不是就不会中招?只能说风险会相对降低,但并非绝对安全。攻击者常将恶意代码植入小众网站,但近年来知名网站被入侵的案例也屡见不鲜,没有任何网站能保证永远安全,风险始终存在。
而 iOS 17 的用户无需等待单独的补丁推送,因为支持 iOS 17 的设备均能升级到 iOS 18 或 iOS 26,苹果建议直接升级到更高版本,从根源上规避漏洞风险。也有不少人纠结,到底能不能选择不更新?如果你的 iPhone 仅作为备用机,只用来接收验证码、打电话,无任何重要数据,可暂时不更;但如果是日常使用的主力机,涉及微信、支付宝等支付操作,以及大量社交、隐私数据,更新系统刻不容缓。
如果确实因特殊原因不想升级,又对安全有较高要求,可尝试开启 iOS 16 中引入的「锁定模式」。苹果发言人近期明确表示,目前尚未发现针对开启该模式设备的成功攻击案例。不过需要注意的是,锁定模式会大幅限制设备的部分功能,比如禁止未知来源的链接、限制 APP 的部分权限,普通用户日常使用并不建议开启。
网络安全的边界始终在变化,而漏洞利用的门槛却在不断降低。对于绝大多数 iPhone 用户而言,无需纠结复杂的防护手段,及时检测并升级到苹果推送的最新系统版本,就是保护手机数据安全最稳妥、最有效的方式。别心存侥幸,一个简单的更新操作,就能为自己的数字财产筑牢一道安全防线。
