10台十年前的老iPhone同时被推送了系统更新,原因是Safari内核的安全漏洞。这次更新涉及了从iPhone6s到PhoneX的多款机型,时间跨度接近十年。苹果很少对这么旧的机型进行补丁推送,因此这次行动引起了广泛关注。这说明攻击链已经被实际利用,而且利用得不轻。据公开信息显示,这个补丁是为了修复Coruna相关漏洞。之前在iOS17和OS16系统中也发生过类似的紧急修复。这些漏洞涉及到WebKit和内核,过去两年里曝光过超过10个同类漏洞,影响了全球范围内的真实用户。 这次更新再次证明了一个现实:只要使用Safari内核的设备都会受到影响。攻击者只需让你点进一个改过代码的页面,就能在系统内部触发任意代码执行。这种落差感让很多坚持使用旧系统的人感到不安。国内还有大量活跃的iPhone6s和7用户,数量级为千万级别。他们之所以不愿意升级是因为旧系统的使用体验舒适,而且认为能用就不想换。 这次补丁是安全类的,不是功能类的。升级后可能会导致掉速和掉电等问题,而不升级就是让设备暴露在风险中。用户面临着一个两难选择:一边是体验损耗,一边是隐私风险。 漏洞到底有多严重?这个问题可以通过攻击成本来判断。这类漏洞常见的利用方式是水坑攻击——攻击者瞄准你常访问的网站。从2023年到现在,苹果披露的相关CVE里有至少五个已经被标记为“已被利用”。普通用户很难判断网页是否被动过手脚。 苹果这次把补丁连夜推送到旧设备上看起来像是负责任的行为,实际上更像是被逼无奈。这类漏洞常常跨越数代系统共享路径,只修新系统意义不大。必须补到最早的一批设备才能封死整个链条。过去两年这种跨代补丁出现得越来越频繁,说明浏览器相关攻击变得频繁了。 新旧系统之间的错位赛跑导致了漏洞窗口被拉大。新系统每年会修复十几个以上的WebKit漏洞,而旧系统只能等待补丁推送。这次补丁向下覆盖了多年前的机型意味着利用门槛不高且传播广泛。 如果你手里还握着一台坚持旧版本的iPhone,你会选性能的稳定还是隐私的完整?这个选择变得越来越紧迫。