又被工信部点名，苹果祸不单行丑闻曝光：黑客用漏洞攻击用户手机

很多人选择苹果手机，核心考量里都有系统封闭更安全这一条，甚至把它当成隐私防护的铜墙铁壁，可这次官方发布的信息，直接把这份所谓的安全感撕得粉碎。

你以为自己的手机设了复杂密码就锁得严严实实，隐私信息万无一失？

你以为只要不乱装陌生软件，不随便修改系统权限，就能彻底躲开网络攻击？

这次的事件，会刷新你对手机安全的全部认知。

文 | 金锐点

编辑 | 金锐点

工信部点名，攻击已经真实发生

4月3日，工信部通过网络安全威胁和漏洞信息共享平台发布相关信息，这条信息和以往常规的漏洞提醒完全不是一个性质。

很多人可能没分清这其中的关键区别，常规的漏洞公告，是官方或者厂商发现了系统里存在的安全缺陷，提前告知用户做好防护，更新补丁，对应的是可能发生的风险，是提前给用户打预防针。

但这次的公告完全不同，核心内容是已经监测到有攻击者，正在利用针对苹果终端产品的漏洞工具，对用户发起真实的网络攻击。

这里面有几个关键信息，攻击者已经有了成型的利用工具，攻击行为正在持续进行，相关攻击已经落地到真实用户身上。

这就意味着，这件事不是停留在实验室里的技术研究，不是理论上的安全隐患，而是已经进入了真实的实战攻击阶段。

国家级网络安全平台出面发布这类信息，本身就代表事件的严重程度已经到了必须广而告之的地步，不是小范围的试探攻击，而是已经形成规模的真实威胁，这也是这次事件最需要所有人重视的核心前提。

安全防线，被黑客找到突破口

很多用户对苹果系统的安全信任，大多来自封闭生态的特性，觉得只要不主动打破系统限制，不下载非官方商店的软件，外部的恶意程序就进不来。

可这次的攻击行为，直接绕开了用户认知里的所有安全防护，甚至能直接拿到设备的最高管理权限。

攻击者完成入侵后，不仅能窃取手机里存储的全部隐私信息，还能实现对设备的远程控制，最终完成对整个系统的完整接管。

也就是说，你手里拿着的手机，可能在你完全不知情的情况下，变成了被他人远程操控的终端。

更需要警惕的是，这次的攻击路径没有任何复杂的门槛，全程都是用户日常使用中最常见的操作场景。

攻击者常用的方式，就是通过短信发送诱导信息，邮件投放钓鱼内容，或是搭建恶意网页，形成一套完整的攻击组合，最终的目标，就是引导用户点击对应的链接。

只要用户点击了链接，攻击者就能利用Safari浏览器的核心引擎漏洞完成入侵，整个过程不需要用户下载任何软件，不需要用户进行任何复杂操作，甚至你只是点开链接看了一眼，就已经落入了攻击陷阱。

这次被利用的漏洞，藏在iOS系统的WebKit内核中，这个内核是苹果设备上所有网页加载的底层支撑，哪怕是第三方APP里打开的网页内容，也要依靠这个内核运行。

一个内核层面的漏洞，会让整个设备的网页访问场景都暴露在风险中，这也是攻击能绕过常规防护的核心原因。

很多人以为不乱装软件就能守住安全底线，可现实是，只是一个点击链接的动作，就可能让手机彻底失守。

而且这套攻击流程已经完全成熟，从前期的诱导接触，到中期的漏洞利用，再到后续的木马植入和权限接管，形成了完整的工业化攻击链条，攻击者只需要批量投放诱导内容，就能等着目标主动上钩。

风险覆盖范围远超预期

这次漏洞和攻击行为覆盖的系统版本，是iOS 13.0一直到iOS 17.2.1，这个版本跨度，直接把市面上绝大多数正在使用的苹果手机，都划入了风险范围。

iOS 13是2019年推出的系统版本，对应的机型从iPhone 8系列开始，一直到后续推出的iPhone 15全系列机型，都能升级到对应的系统版本，同时还包括了同系统区间的全系列iPad产品。

也就是说，哪怕是近几年刚入手的新款机型，只要系统没有更新到iOS 17.3之后的版本，就依然处在攻击风险的覆盖范围内。

这不是少数使用老旧机型、不更新系统的用户才需要面对的问题，而是大量正在使用苹果设备的用户，都身处风险区间里。

很多用户可能会觉得，自己平时不接触乱七八糟的内容，不会成为攻击者的目标，这种想法恰恰忽略了网络攻击的核心逻辑。

这类利用通用系统漏洞的攻击，从来都不是针对某一个人发起的定向攻击，而是广撒网式的批量覆盖。

没有谁能保证自己永远不会收到一条伪装逼真的诱导短信，也没有谁能保证自己永远不会误点一个陌生链接，只要有一次疏忽，就可能面临隐私泄露和设备被控制的风险。

安全隐患，不只是系统存在漏洞

其实针对这次被利用的相关漏洞，苹果官方早就已经推送了对应的安全更新，3月中旬左右就发布了新系统版本，针对性修复了WebKit内核的相关高危漏洞，同时针对很多无法升级最新系统的老旧机型，也单独推送了旧版本的修复补丁。

也就是说，厂商已经把防护的补丁做好了，能不能守住安全防线，核心决定权其实在用户自己手里。

现实情况是，大量用户根本没有更新手机系统的习惯，甚至会刻意关闭系统更新提醒，一直使用出厂时的系统版本。

很多用户不更新系统，大多是担心更新之后手机会出现运行卡顿、耗电加快、存储空间不足的问题，觉得老版本用着更顺手，就一直拖着不更新。

可就是这个看似为了手机使用体验的选择，让自己的手机一直处在无防护的裸奔状态。

厂商在不断修复系统里的安全漏洞，而用户却主动放弃了这些防护补丁，相当于自己拆掉了家里的门锁和防盗窗，还觉得只要房子本身够结实，就不会有小偷进来。

很多人一直争论苹果系统到底安不安全，其实这个争论本身就没有太大意义。

再安全的系统，也会不断出现新的安全漏洞，所有的手机厂商，都在持续通过系统更新来修复这些漏洞，补上安全防线的缺口。

真正决定你的手机安不安全的，从来都不是系统本身的安全上限，而是你有没有及时补上防护的缺口，有没有守住日常使用中的安全底线。

说到最后，给所有用户提几个最直接也最有效的防护建议，先立刻检查自己手机的系统版本，尽快更新到苹果官方发布的最新系统，及时安装所有安全补丁，不要因为担心使用体验，就放弃最核心的安全防护。

所有陌生短信、邮件里附带的链接，不管内容伪装得多逼真，不管是说快递异常、社保待办，还是中奖通知、账户风险，都不要随意点击，更不要在陌生网页里输入自己的账号密码和支付信息。

最后，日常使用中不要随意连接无密码的公共WiFi，避免在非安全网络环境里进行支付操作和隐私信息输入。

手机安全从来都不是一劳永逸的事，不是你选了一个主打安全的手机，就能高枕无忧。

厂商能给你搭建安全防护的框架，可最终能不能守住自己的隐私和财产安全，还是要看日常使用里的每一个选择。

别等到自己的隐私被泄露，设备被控制，才意识到当初忽略的那些细节，早就埋下了巨大的安全隐患。

信息来源： 光明网——工信部紧急提醒苹果用户