最新新聞 (TW)

IPhone新安全漏洞允許遠端駭客攻擊並需要立即更新系統

作者 Redação Mix Vale • 2026年4月11日 • 1 min de leitura

WhatsApp Twitter Facebook Seguir no Google E-mail

Foto: iPhone 17 Pro - Foto: Thaspol Sangsee / Shutterstock.com

由於作業系統中發現了一個嚴重漏洞，網路安全專家和國際當局針對蘋果智慧型手機用戶發出了嚴厲警告。該漏洞直接影響 Safari 瀏覽器，並允許惡意代理遠端完全控制設備，而無需事先安裝應用程式。攻擊悄無聲息地發生，只需要受害者存取被操縱的網址，這就會觸發遠端程式碼執行。該漏洞暴露了大量敏感訊息，包括銀行憑證、媒體庫、即時位置歷史記錄和私人訊息交換。

Apple 作業系統中的探索機制

此安全問題特別影響使用 13.0 至 17.2.1 之間 iOS 版本的裝置。此攻擊的架構是基於利用裝置預設瀏覽器渲染引擎內的 Web 內容處理缺陷。

當使用者點擊詐欺連結時，系統會嘗試載入頁面，此時惡意腳本會溢出分配的記憶體限制。此操作會立即向裝置擁有者無形地授予攻擊者管理員權限。

一旦建立存取權限，網路犯罪分子就可以像手中擁有智慧型手機一樣操作智慧型手機，更改隱私設定並攔截雙重認證代碼。被駭客攻擊的設備和攻擊者的命令伺服器之間的通訊是加密的，使得網路保護軟體難以偵測到。

數位威脅研究人員證實，有組織的團體已經在積極的間諜活動和金融詐欺活動中使用這種技術。攻擊的精確性消除了受害者持續互動的需要，只要設備保持連接到互聯網，攻擊者的機會窗口幾乎是無限的。

與沒有官方支援的硬體相關的風險

對於舊型號（例如 iPhone 6s 系列和前幾代）的用戶來說，這種情況更加嚴重。這些設備已被製造商宣佈為過時的定期軟體更新，這意味著它們將不會收到關閉此特定網關所需的修補程式包。

如果無法套用官方安全補丁，這些智慧型手機就會成為自動漏洞利用工具的永久目標，這些工具會掃描網路以查找易受攻擊的系統。由於缺乏現代核心級防禦，提取儲存在應由作業系統隔離的區域中的資料變得更加容易。

使用這些過時設備的技術建議是嚴格限制它們的基本通訊功能。該指南包括立即刪除銀行應用程式、刪除密碼管理器以及停止使用包含敏感資訊的公司或個人電子郵件帳戶。

攻擊向量和涉及的社會工程

惡意連結的分發主要透過直接通訊管道中應用的社會工程策略進行，例如簡訊、偽造電子郵件和即時通訊平台。犯罪分子會創造具有說服力的文本，模擬金融機構的警報、訂單交付通知或獨家促銷活動，製造一種緊迫感，誘使受害者衝動行事。其核心目標是規避用戶自然的不信任，使點擊網址看起來像是解決虛構問題的必要且安全的操作。

除了直接訊息之外，利用傳播活動還利用合法網站上放置的詐騙廣告和社交網路上推廣的貼文。這種大規模的方法呈指數級地擴大了威脅的影響範圍，涵蓋了不同的用戶檔案，這些用戶在瀏覽熟悉的數位環境時，放鬆了對基本安全協議的警惕。這些數位磁鐵的複雜性需要不斷的懷疑態度，檢查任何連結的來源成為任何互動之前的強制性程序。

緩解漏洞的技術程序

針對此類遠端入侵的主要且最有效的防線包括立即將作業系統更新到製造商提供的最新版本。該過程必須透過存取設備的設定選單、導航至常規部分並選擇軟體更新選項來執行。使用者必須啟動自動下載和安裝功能，以確保在裝置不活動期間（通常是凌晨）在裝置連接到電源和穩定的 Wi-Fi 網路時應用未來的安全套件。此外，採取拒絕點擊來自未知寄件者的縮短 URL 以及在訊息應用程式中配置嚴格的垃圾郵件過濾器等做法形成了重要的次要障礙。在與裝置連結的所有服務中實施多重身份驗證還可以充當遏制機制，防止對裝置資料的存取自動導致外部平台上的帳戶受到損害。