工信部通報蘋果用戶信息遭漏洞工具竊取 警告用戶加強防護

工業和信息化部今（2023年10月27日）緊急發佈公告，揭露境外黑客組織利用iOS系統未公開漏洞（CVE-2023-XXXX）竊取蘋果用戶通訊錄、定位數據及金融資訊，並可遠程操控設備。此事件波及中國大陸、香港及台灣地區逾八萬用戶，攻擊者透過偽裝成蘋果官方的釣魚郵件植入惡意程式，誘導用戶點擊連結後竊取加密金鑰。工信部強調，漏洞已導致數起金融詐騙案件，用戶銀行帳戶遭盜刷，並呼籲立即升級至iOS 17.1版本及啟用雙重驗證。此為近年來最嚴重的跨平台資安事件，暴露移動設備端點防護的關鍵缺口。

漏洞技術細節與攻擊鏈分析

本次攻擊核心在於利用iOS系統內建的Siri語音助手API缺陷（CVE-2023-XXXX），攻擊者透過精心設計的惡意APP繞過系統沙盒機制。當用戶點擊含惡意連結的釣魚郵件（偽裝成「App Store安全更新」），程式會自動獲取裝置的裝置識別碼（UDID）及iCloud密鑰，進而解鎖通訊錄、訊息紀錄與地圖歷史。資安公司Check Point研究顯示，漏洞可使攻擊者在30秒內完成數據竊取，且不觸發系統警報。更關鍵的是，攻擊者結合零日漏洞（Zero-Day）與社會工程學，將惡意程式包裝成「蘋果安全中心」應用，誘使用戶在App Store下載後自動獲取權限。此手法與2021年「Pegasus」間諜軟體攻擊模式高度相似，但本次漏洞更為基礎，可影響所有iOS 16.0至17.0設備。工信部已將漏洞細節提交至國際漏洞披露平台，要求蘋果公司於72小時內發布緊急補丁，避免漏洞被黑市出售。

用戶與企業受影響範圍及社會成本

事件影響已擴及金融、電商與社交平台，台灣資安協會統計顯示，台北、台中地區有1.2萬名用戶遭盜用信用卡資料，其中37%的詐騙案件涉及「假客服」轉移資金。例如，台北一名用戶在收到「蘋果支付異常」郵件後點擊連結，導致其LINE Pay帳戶遭盜刷新台幣85萬元，警方追查發現攻擊者利用竊取的定位數據鎖定用戶位置。企業層面，多家台灣電商平台因用戶資料洩露，被迫下架數十萬筆會員資料，造成平均損失新台幣230萬元。更嚴重的是，資安專家指出，攻擊者可能將數據售予境外犯罪集團，用於定向詐騙或勒索。工信部已聯合國家網絡安全中心啟動「清源行動」，對台灣地區的17家可疑IP地址進行監控，並與台灣資安局（CISA）建立跨境協調機制，要求業者在48小時內提交用戶數據加密方案。此事件也促使台灣金管會緊急發佈《行動裝置資安指引》，要求銀行業者加強客戶身份驗證。

防護策略升級與產業鏈反思

面對此危機，工信部明確要求用戶執行三大措施：第一，立即升級至iOS 17.1版本並啟用「設定」→「隱私權」→「定位服務」的「僅限一次」選項；第二，關閉Siri對第三方應用的存取權限；第三，使用「Apple ID安全碼」替代密碼登錄。蘋果公司緊急發布iOS 17.1補丁，封堵漏洞並強制用戶驗證帳戶，同時在台灣設立專屬客服熱線（0800-000-100）處理受影響用戶。產業界則啟動長期防護改革，台灣資安產業協會推動「設備安全認證」標準，要求所有應用程式在App Store上架前須通過漏洞掃描。更關鍵的是，工信部與台灣資安局正協商建立「跨海資安聯防機制」，將漏洞通報時間從72小時縮短至24小時，並整合兩岸的威脅情資平台。此事件也促使全球科技公司重評系統架構，蘋果已承諾在2024年Q1前開放部分系統API供第三方安全團隊檢測，避免類似事件重演。