很多iPhone用户把系统钉在老版本,戏称“系统养老”,图个续航稳定和流畅,自己维护的小世界看着稳,手机用着顺,但这次不同了,苦心维护的“养老”舒适区,可能早已成为黑客眼中畅通无阻的“后门”。
国家工业信息安全发展研究中心在内的安全机构同时发了高危预警,明确写着苹果iOS里有被在野利用的零日漏洞,运行iOS 13.0到iOS 17.2.1的设备,建议立刻升级。
这次预警指向一条叫Coruna的漏洞利用链,利用的是CVE-2024-38696,在所有iOS浏览器的核心WebKit渲染引擎里,链条从网页渲染一路通到系统内核提权。
攻击者不让你下App,不让你点什么按钮,iMessage丢来一条,邮件来个钓鱼,社交平台甩个链接,你手指一碰页面,网页加载完成那一下,攻击已经跑完,系统的保护被绕开,后台静默执行任意代码,远程控制成型。
中招之后,手机在对方面前像透明的玻璃,私人照片通讯录聊天记录备忘录摆在台面上,银行App登录状态有可能被拿走,麦克风摄像头能被远程打开做监听,设备也可能被拉进僵尸网络节点,整个过程在后台安静地走,这类零点击链条用户不操作也会触发。
不止这条,另一条叫DarkSword的利用链也在名单里,目标对着iOS 18.4到18.7,用到CVE-2024-38697,位置还是WebKit的JavaScript引擎,浏览器核心已成高阶威胁的常见通路。
眼下的办法很清楚,就是升级,苹果把修复放进了这些版本,iOS 16.7.9及iPadOS 16.7.9,iOS 17.7及iPadOS 17.7,iOS 18.1.1及iPadOS 18.1.1。
还停在iOS 13到iOS 16.7.8之间的老设备,苹果额外给出了iOS 15.8.8和iOS 16.7.9等安全更新,iPhone 6s和7在支持列表里就能升级获得这层保护。
苹果敦促用户更新,动作很密,紧急补丁持续推送,官网挂醒目预警,对受影响设备推全屏弹窗,所有信号指向一个事,马上更新。
现实里不少设备还滞留在危险版本,担心新系统变卡耗电的人在,技术爱好者看中巨魔商店保留低版本的也在,这里给个边界,备用机折腾随你,主力机承载数字生活和支付信息,安全排在最前,别用全部隐私和财产去换一点使用方便。
确有特殊情况主力设备要短暂停留在未修复版本,防护拉到最高,不点不明链接,好友发来的也先核实,设置里开启锁定模式,路径是设置-隐私与安全性-锁定模式,部分网站功能会被限制,拦截零点击网络攻击的能力更强,Apple ID确认开启双重认证,入口在设置你的姓名密码与安全性,这道防线要立住。
从苹果的密集补丁到国家工信领域安全机构的直接点名,双重警报把这次漏洞的严重程度摆出来,段子可以随风过去,和数字安全相关的提醒要放在心上,系统养老的执念收一收,一次升级不复杂,等于给你的数字世界换上一把更牢的锁。
