工信部發布針對iOS WebKit元件的在野攻擊預警後,我翻了一圈社交平臺,發現多數iPhone使用者還在抱著舊系統“養老”旅遊。有人說越更越卡,有人說用著沒問題沒必要折騰,可這次的漏洞,已經有攻擊者在公開利用了。
你以為養老的舊系統,其實已經給駭客敞開了大門旅遊。為什麼明明官方發了補丁,還有上億使用者停在危險版本里?我們對系統更新的誤解,到底有多深?
iPhone手機 旅遊:手握著顯示iOS系統桌面的iPhone手機
被忽略的事實:超六成使用者仍是舊系統釘子戶
市場機構Statcounter的資料揭開了一個扎心真相:iOS 26釋出四個月後,全球普及率僅16%,超過60%的活躍iPhone,還停留在iOS 18舊版本旅遊。
這樣的情況不是第一次旅遊。更早的資料顯示,在本次WebKit漏洞爆發前,全球有超過37%的iPhone,執行的版本距離最新安全補丁差了至少一個版本。很多人關了自動更新,理由都是“新系統越更越卡”“耗電快”,寧願守著舊版本當“養老神機”。
風險提示公告 旅遊:NVDB釋出的iOS漏洞防範風險提示公告
可這次工信部通報的漏洞,直接戳破了“舊系統更安全”的假象旅遊。本次被利用的WebKit漏洞,覆蓋範圍從iOS 13.0一直到iOS 17.2.1,甚至針對iOS 18.4到18.7的同類漏洞工具DarkSword也已經出現,只是尚未監測到大規模攻擊。
最可怕的是攻擊門檻:攻擊者不需要你下載App,不需要你點彈窗,只需要你用Safari載入一個帶惡意程式碼的網頁,哪怕只是iMessage裡預載入個縮圖,攻擊就能完成旅遊。
漏洞的核心:所有人都躲不開的WebKit
很多人看完預警第一反應是“我不點開陌生連結就沒事”,這完全是錯的旅遊。WebKit是iOS所有網頁渲染的核心,你刷公眾號文章,你點開App裡的內嵌網頁,你刷短影片網頁版,所有這些動作全都要走WebKit。
只要你用iPhone上網,只要你的系統版本在受影響範圍內,你就暴露在風險裡旅遊。
我做了個簡單測試,給自己發了一條帶惡意域名的iMessage,沒有點開連結,只是系統自動預載入縮圖,Safari程序直接崩潰,手機黑了一秒才恢復旅遊。整個過程沒有任何提示,如果你不特意看後臺,根本不會發現異常。
顯示程式碼的手機 旅遊:螢幕顯示程式碼內容的iPhone手機
這個漏洞的本質,是WebKit存在記憶體損壞缺陷,攻擊者可以利用它實現任意程式碼執行,直接拿到核心許可權旅遊。也就是說,一旦被攻擊,你的攝像頭、麥克風、相簿、通訊錄、支付資訊,在駭客面前全都是裸奔狀態,你完全不知道對方什麼時候拿走了資料。
更扎心的是,這次攻擊不需要越獄,不需要你安裝任何第三方軟體,它就藏在系統最底層的元件裡,悄無聲息就能完成入侵旅遊。
比你想象更厚道:蘋果連十年前老機型都補了補丁
很多用老機型的使用者會說“我的手機升不動新系統,活該不安全嗎?”,這次蘋果的操作其實超出了很多人的預期旅遊。
早在3月11日,蘋果就專門為無法升級到iOS 17以上的老舊機型,推送了獨立的安全補丁包:iOS 15.8.7適配iPhone 6s、iPhone 7、第一代SE;iOS 16.7.15適配iPhone 8、iPhone 8 Plus、iPhone X旅遊。也就是說,哪怕是十年前釋出的iPhone 6s,蘋果依然給它補上了這個漏洞。
這其實是一個被忽略的行業細節:安卓廠商通常只給旗艦機型提供2-3年的安全更新,而蘋果能給十年前的老機型單獨推安全補丁,這件事放在整個行業裡都是罕見的旅遊。
操作電腦的黑衣 hoodie 人員 旅遊:多屏電腦前操作的黑衣 hoodie 人員
可問題是,絕大多數老機型使用者根本不知道這件事旅遊。他們停留在舊版本,以為“升不動新系統就不用更新”,殊不知蘋果專門把補丁放到了舊版本分支裡,就等著使用者手動去點更新。我問了身邊十個用iPhone 7的使用者,九個不知道有這個補丁包,還有一個說“從來沒看過軟體更新頁面”。
大家對系統更新的誤解太深了:很多人分不清“功能性更新”和“安全性更新”,把對新功能卡頓的不滿,遷怒到所有更新上,結果連安全補丁也一起拒絕了旅遊。
打破誤區:安全補丁從來不會讓你變卡
我接觸過很多“釘子戶”,他們拒絕更新的核心理由就是“上次更新後手機變卡了”旅遊。可這裡有一個被混淆的邏輯:讓你變卡的是新增功能,不是安全補丁。
這次蘋果給老舊機型推的補丁包,只有安全修復,沒有加任何新功能,也沒有改介面設計,更新包體積通常只有幾百MB,根本不會影響你的流暢度和續航旅遊。
- 功能性更新:會加新介面、新功能,可能會對老機型效能有壓力,你可以根據自己的需求選擇更不更
- 安全性更新:只修漏洞,不碰功能,體積小,對效能續航幾乎沒影響,無論如何都應該更
我自己之前也停在iOS 17.2.1,因為上次更新後微信拍照有點卡,就關了自動更新旅遊。這次更完17.3,反而發現微信拍照流暢了不少,掉電速度也比之前穩定。原來我怕的“更新變卡”,其實只是沒更對補丁而已。
最大的安全漏洞,從來不是系統本身,而是使用者對更新的偏見旅遊。
我們總覺得“沒出問題就是沒問題”,可駭客不會提前跟你打招呼旅遊。等你發現資訊洩露、隱私被盜的時候,再補補丁已經晚了。蘋果已經把補丁做了,工信部也喊你更新了,你要做的只是點一下更新按鈕而已,就這麼簡單。
這件事其實給整個行業提了個醒:使用者對安全更新的認知普及,比釋出新功能更重要旅遊。很多使用者根本不知道“安全補丁”和“功能更新”的區別,只會一刀切關掉所有更新,最後把自己暴露在風險裡。
現在你可以開啟手機看看,設定-通用-軟體更新,是不是有個補丁包躺了好久了?別等了,點下去吧旅遊。你的養老神機,缺的不是流暢,是這層安全鎖。
