昨晚同事突然把手机塞到我手里，说别点任何短信链接，她朋友的iPhone被莫名换壁纸就是这波新攻击，听得人后背一凉。

按工信部旗下的网络安全威胁和漏洞信息共享平台NVDB上周发布的通报，这回盯上我们的，是覆盖iOS 13.0到17.2.1的整条苹果机型链，被远程植入木马后，聊天记录、照片甚至摄像头权限都可能在半夜被悄悄接管。他们的套路并不花哨：先用短信、邮件甚至社交平台广告勾你点开，Safari一加载恶意网页，系统里还没修补的洞就被连环触发，像开锁匠那样层层撬开，最终塞进一个能拿最高权限的远控程序。

苹果在安全更新公告里其实给出了补丁（support.apple.com/zh-cn/100100可以查到具体列表），但国内不少用户为了省空间或怕卡顿，依旧停留在16甚至14的旧版本，这就等于把门掩上不锁。我邻居老张是典型例子，跑顺丰的他为了用旧版捷径刷运单，死活不升系统，上周突然被移动运营商提醒账户异常，后来查日志才发现手机凌晨访问过俄罗斯某IP地址，他自己根本没动过手机。

网上也有网友自曝，说收到“快递补发”的短信后点了链接，几分钟后Apple ID被踢下线，正好和NVDB通报中的攻击链对得上，说明这波攻击已经撞进普通人圈子，而不是只盯企业。最要命的是，这些木马会尝试关闭安全日志，很多人以为没弹窗就没事，实际上后台权限已经被移交出去，我一个搞运维的朋友听完直接放下咖啡，说这攻击方式比以前的描述更像“滴灌”，慢慢榨干数据。

别以为只有苹果系统，安卓圈子频繁爆漏洞让人疲劳，现在轮到苹果有重大通报，大家反而容易心理麻痹，尤其是手里握着旧机型、靠二手市场撑着的年轻人，升级成本不低，但被盗和被监听的代价更高。这波事件还牵扯出企业端风险，很多公司在用iPad做移动考勤或销售展示，一旦设备被拿到最高权限，对方能调取客户资料甚至商务报价，数据泄露的损失根本不是一台平板的钱能补。24小时内没法升级的朋友，至少先把重要账户切到双重验证、关闭不常用的描述文件，别用Safari点陌生链接，临时改用微信内置或手动输入官网地址，很多攻击代码都需要Safari特有的引擎才能触发。

说实话，我理解不少人怕旧机升级卡顿，但苹果今年在17.3之后针对老机型做了一轮性能修补，论坛里已经有用户反馈电池表现比想象好，不升系统的恐惧多半源自几年前的负面经验，如今策略得重新评估。还见过一种做法是先备份，再去官方授权店让工作人员协助升级，他们会当场帮你验证补丁是否生效，这对数码小白很友好，别嫌麻烦，毕竟账号、银行卡、家人照片都藏在那块小屏幕里。

更现实的一点是，很多人喜欢到处蹭WiFi，公共网络容易被插入“中间人”跳转，你看见的是苹果官网，其实早就被劫持，建议在家升级时保持自己路由器联网，升级完再出门，这样网络被“下毒”的概率会小很多。还有个细节值得注意，攻击方常用的短链域名会伪装成快递、中奖、朋友分享，别看它只差几个字母，一旦点击就滑入陷阱，苹果在新版本里加入了更严格的域名识别提示，旧版本压根没有这层防护。

每次安全事件都会筛出两拨人，一拨立刻升级、换密码、强化验证，另一拨继续观望，直到周围有人中招才追着补救；如果今天就摆在你面前的这个漏洞，放你身上，你会马上动手升级还是继续按兵不动？