最近有个消息在圈子里传开了:iOS 12.4版本中存在一个高危漏洞,攻击者可以在无需用户交互的情况下远程入侵iPhone。说得直白点,只要对方知道你的Apple ID,几分钟之内就能把你的手机翻个底朝天——文件、密码、双重验证码、信息、邮件、应用数据,全都不设防。
更让人后背发凉的是,攻击者还能直接调用麦克风和摄像头,实现对用户的实时监控。这个漏洞在技术文档里被标记为CVE-2019-8641,核心问题在于它绕过了ASLR(地址空间布局随机化),然后在沙箱外部启动了远程代码执行——而整个过程完全不需要用户做任何操作。谷歌Project Zero团队在分析报告中指出,该漏洞早在2019年年中就在iOS 12.4中被发现,随后在iOS 12.4.1中得到了修复。

不过话说回来,事情并没有听起来那么可怕。这个漏洞的影响范围其实很明确:只有运行iOS 12.4的设备才暴露在风险中。如果你已经升级到了iOS 13或更高版本,那基本可以放心。谷歌研究人员也强调,虽然漏洞本身已被修复,但行业需要更系统的缓解措施来避免类似问题反复出现。
对于还在使用iOS 12.4的用户,安全建议只有一个:尽快更新到最新版本。新版本中不仅包含了这个漏洞的补丁,还集成了后续的所有安全更新。这听起来是老生常谈,但确实是抵御这类零点击攻击最有效的手段——没有之一。
