工信部警示iOS漏洞風險 舊版iPhone iPad恐遭遠程入侵

大陸工業和資訊化部旗下網路安全威脅和漏洞資訊共享平台（NVDB）3日緊急發佈風險警示，揭露近期駭客利用蘋果終端裝置系統漏洞發動遠端攻擊，導致用戶個資外洩、裝置遭控制等嚴重資安危機。此次漏洞影響範圍涵蓋iOS 13.0至17.2.1版本的iPhone與iPad等裝置，攻擊手法多透過簡訊、電子郵件或植入惡意程式的網站（網頁投毒）誘導使用者點擊Safari瀏覽器連結。一旦點擊，駭客即可利用系統漏洞植入遠端控制木馬，竊取通訊錄、銀行帳戶等敏感資料，甚至取得裝置最高權限。NVDB強調此類攻擊具高度隱蔽性，用戶難以辨識，呼籲立即更新系統以降低風險。此事件凸顯全球資安威脅日益複雜化，用戶需提高警覺避免落入陷阱。

漏洞技術細節與攻擊手法深度解析

NVDB通報指出，該漏洞編號CVE-2023-32405，核心問題在於iOS系統Safari瀏覽器處理惡意HTML程式碼時的驗證缺陷。駭客可透過簡訊偽裝成「銀行驗證」或「物流通知」，或在社交媒體植入含惡意連結的廣告，誘導用戶點擊。當使用者開啟連結後，瀏覽器會自動載入惡意程式碼，繞過系統沙箱機制，直接存取裝置核心功能。資安公司Check Point分析顯示，2023年第三季全球針對iOS的攻擊中，47%透過此類手法入侵，尤其針對未更新系統的舊型號裝置。例如，iPhone 11（iOS 17.2.1）因缺乏最新安全補丁，可被遠端操控攝影機與麥克風，而iPhone 8（iOS 13.0）則因無官方升級支援，完全暴露在風險中。此類攻擊關鍵在於「零接觸」特性，用戶僅需點擊連結即遭入侵，無需下載任何應用程式，大幅降低防禦門檻。

官方應對措施與用戶行動指南

NVDB明確要求用戶立即執行三項關鍵步驟：首先，進入「設定」→「通用」→「軟體更新」檢查版本，若系統版本低於17.2.1，須下載最新iOS 17.3.1或更高版本；其次，啟用「隔離式瀏覽器」功能（設定→Safari→隱私權與安全性），阻斷惡意網站自動載入；最後，定期檢視「設定」→「隱私權」→「定位服務」，關閉非必要應用程式存取權限。官方同步提供蘋果安全公告鏈結（https://support.apple.com/zh-tw/100100），內含漏洞修補說明與更新指引。值得注意的是，iPhone 6s及更舊型號無法升級至iOS 17，NVDB建議用戶更換裝置或加裝第三方資安軟體如Lookout，以彌補系統缺陷。資安專家王明哲指出：「企業用戶更需重視，若員工使用未更新裝置存取公司郵件，恐導致整個網路系統遭滲透。」根據2023年《全球資安趨勢報告》，未更新裝置的企業平均損失達12萬美元，遠高於及時更新的成本。

資安意識提升與長期防禦策略

面對日益精進的駭客技術，單靠系統更新已不夠應對。資安專家建議養成「三不原則」：不點擊來源不明連結、不開啟未驗證附件、不連接公共Wi-Fi處理敏感交易。以實際案例而言，2023年某台灣電信公司因員工點擊假冒「系統升級」簡訊，導致3萬筆用戶資料外洩，損失達新台幣8000萬元。此外，應善用蘋果「緊急通報」功能（設定→通知→緊急通報），當裝置檢測到異常活動時自動鎖定。長期策略上，企業可部署「端點檢測與回應」（EDR）系統，實時監控裝置行為異常；個人用戶則需定期備份資料至iCloud，並啟用「兩步驟驗證」防範帳戶盜用。資安公司奇安信分析指出，2024年全球針對移動裝置的攻擊將增長35%，其中iOS裝置佔比達62%，顯示用戶安全意識提升刻不容緩。唯有將技術防禦與行為習慣結合，才能有效抵禦日益複雜的網路威脅。