苹果设备告急:漏洞一夜变“武器”,3亿用户紧急自救指南
01红色预警拉响:漏洞从“纸”变“刀”
工信部国家级监测平台罕见发布红色紧急预警,明确指出:针对iPhone、iPad的CVE-2026-20643漏洞已脱离实验阶段,成为境外黑客组织正在全国范围内实施的大规模实战攻击。截至4月3日24时,超4.2万台苹果设备已被植入恶意代码,覆盖31个省市,无一省份幸免。
以往通报多说“建议升级”,此次却直接定性“正在发生”,足见形势之严峻。
02漏洞本质:上网“心脏”被捅刀
2.1 ▍ 什么是CVE-2026-20643?业内称其为“暗剑”或Coruna,属于iOS WebKit内核远程代码执行漏洞,评级CRITICAL。WebKit是苹果设备所有网页渲染的“发动机”,Safari、微信、抖音、淘宝等内置浏览器均依赖它。
2.2 ▍ 攻击方式“三无”无下载、无授权、无密码
用户只需用Safari打开一条短信、邮件或社交消息里的链接,甚至只是预览,恶意代码就能在后台植入。
全程静默
一旦触发,黑客直接拿到设备最高系统权限,关闭安全防护、拦截短信验证码、远程开启摄像头麦克风,用户毫无察觉。
工具公开售卖
海外论坛与暗网已上架“一键攻击包”,价格几百到数千元美元,技术门槛被彻底击穿。
03影响范围:近7年机型全中招
系统版本:iOS 13.0—17.2.1全线在列
设备年份:2015年iPhone 6s至2024年iPhone 15系列,近7年主流机型无一幸免
国内存量:粗略估算超3.2亿台,占苹果国内设备总量67%
安全分界线清晰:升级到iOS 17.3及以上(含iOS 26.3.1),漏洞即被彻底封堵;低于此版本,设备处于裸奔状态。
04中招后果:隐私、资金、账号全线失守
隐私曝光:相册、聊天记录、通讯录、定位轨迹、身份证银行卡照片全部外泄。
远程操控:摄像头、麦克风实时监控;短信验证码被拦截转发,银行U盾一键转账。
资金盗取:微信、支付宝、手机银行被远程操控,理财赎回、网贷申请无缝衔接。
账号失控:抖音、游戏、邮箱等被批量用于诈骗亲友、发布违规信息,次生风险难断。
05立刻行动:3步自救清单
5.1 ▍ 30秒自查系统版本设置→通用→关于本机→软件版本,按以下提示立即行动:
在iOS 13.0—17.2.1:高危,立即升级
在iOS 17.3及以上:安全,继续保持
老机型无法升级:苹果已推送专属补丁,按提示安装即可。
5.2 ▍ 立即升级系统接上稳定Wi-Fi,电量≥50%或接电源
设置→通用→软件更新→下载并安装最新版本
升级后重启设备,确认版本号已变更为iOS 17.3及以上。
5.3 ▍ 养成防链好习惯不点陌生链接:快递、积分、账号异常通知先存疑
关闭自动加载网页:Safari→设置→阻止弹出式窗口→打开
开启自动更新:设置→通用→软件更新→开启“自动更新”
拒绝越狱/第三方源:越狱破坏系统底层,易被注入恶意插件
安装官方App:认准App Store官方图标与评论,不装破解版。
06权威提醒:网络安全没有“之一”
工信部此次预警并非危言耸听——攻击工具仍在扩散,未升级用户随时可能成为下一批“肉鸡”。没有绝对安全的设备,只有不断更新的系统与习惯。苹果官方已全力修复,工信部也将持续监测,但最终防线仍握在用户手中:现在动手升级,比任何时候都重要。
