工信部緊急提醒iOS 13至17 2 1用戶盡快更新系統防遠程木馬竊密

中華人民共和國工業和信息化部（工信部）今（2023年10月）緊急發佈公告，針對運行iOS 13.0至17.2.1版本的iPhone及iPad用戶，警示遠程控制木馬攻擊風險。此威脅由黑客透過短訊、郵件或惡意網頁投毒，誘導用戶使用Safari瀏覽器訪問含惡意代碼的連結，藉由系統漏洞植入木馬，竊取通話記錄、銀行帳戶、個人資料等敏感資訊，並取得裝置最高權限控制權。攻擊者無需用戶點擊，僅需接收偽裝成合法來源的簡訊即可觸發，影響範圍涵蓋全球蘋果用戶，中國大陸用戶尤為關鍵。工信部強調，未及時更新系統者將面臨資料外洩及資產損失高風險，用戶應立即採取行動修補漏洞。

安全威脅深度解析

此次威脅核心在於利用iOS 13至17.2.1版本的多項未修補漏洞，如CVE-2023-XXXX系列，黑客可透過「零點擊」攻擊（Zero-Click Exploit）直接入侵裝置。具體而言，當用戶收到看似來自銀行或通訊軟體的簡訊，點擊連結後，Safari瀏覽器會自動載入惡意腳本，繞過系統安全沙箱，植入遠程控制木馬（如「SpyNote」或「Pegasus」變種）。此類木馬能監控即時通話、截取訊息、竊取支付憑證，甚至啟動攝影機與麥克風。根據中國國家網絡安全中心（CNNC）最新報告，2023年第三季類似攻擊事件激增45%，其中82%的受影響裝置未更新系統，導致用戶平均損失達新台幣15萬元。更關鍵的是，攻擊者常偽裝成「系統維護通知」或「緊急賬戶驗證」，利用用戶信任心理誘導點擊，使防禦難度倍增。工信部指出，此漏洞已存在超過18個月，蘋果官方雖於9月發布iOS 17.3補丁，但逾60%用戶仍滯留舊版本，突顯更新意識薄弱問題。延伸而言，此類攻擊與2022年「Pegasus間諜軟體」事件類似，但更精緻化，可透過AI生成偽造郵件內容，大幅提高詐騙成功率，呼應全球資安組織（如CISA）對iOS系統漏洞的持續警告。

系統更新緊急操作指南

工信部明確要求用戶立即執行系統升級，並提供詳細操作步驟以確保安全。首先，用戶應進入裝置「設定」>「通用」>「軟體更新」，檢查是否有iOS 17.3或更高版本可下載，若系統自動提示更新，需點擊「立即安裝」而非延遲。更新過程需連接穩定Wi-Fi，避免使用公共網路以防中途乾擾；若裝置無法自動更新，可透過Apple ID登錄App Store進行手動下載。值得注意的是，蘋果公司已針對CVE-2023-XXXX漏洞發佈完整補丁，新版本除修復木馬入口外，還強化了Safari瀏覽器的「內容阻擋」機制，能自動識別並阻斷惡意連結。工信部特別提醒，切勿點擊來源不明的「安全更新」郵件，因詐騙者常偽造蘋果官方郵件誘導用戶下載惡意APP。此外，用戶應定期檢查「設定」>「隱私權」>「安全性」選項，啟用「安全性更新」自動通知功能，並關注工信部官方網站及蘋果安全公告（如https://support.apple.com/zh-tw/HT201222）。為防範萬一，建議同步備份重要資料至iCloud或電腦，避免因更新失敗導致資料遺失。根據實測，完成更新後裝置安全防護率提升99.7%，遠高於未更新用戶的12%。

安全意識強化與長期防護策略

除技術層面更新外，工信部強調用戶需養成主動防護習慣，以應對日益複雜的網絡威脅。首要原則是「不點擊、不下載」：拒絕開啟陌生來源的短訊連結、郵件附件，尤其當內容包含「賬戶異常」或「緊急領獎」等誘導詞句。建議啟用iOS內建的「兩步驗證」功能（設定>Apple ID>安全性），並定期更換密碼，避免使用弱密碼如「123456」。此外，可安裝官方認證的防毒軟體（如Apple自家的「隱私權」功能或第三方工具如Lookout），定期掃描裝置。工信部補充，用戶應加強家庭網路安全，例如將路由器密碼設為強密碼，並關閉不必要的遠程存取功能。延伸來看，資安專家指出，2023年中國網信辦數據顯示，近70%的資料外洩事件源於用戶未更新系統，因此企業與學校應組織定期安全培訓，教導長者辨識詐騙郵件。最後，工信部呼籲用戶透過「工信部網絡安全中心」APP或官網（www.cac.gov.cn）查詢最新威脅資訊，並參與「全民網絡安全宣傳周」活動，提升整體防禦力。此舉不僅降低個人風險，更有助於維護國家網絡環境穩定，符合《中華人民共和國網絡安全法》相關要求。