很多人用苹果,图的就是“安全、稳、不容易被黑”。但2026年4月3日18:23,工信部网络安全威胁和漏洞信息共享平台(NVDB)发的那条提示,直接把这个“稳”的滤镜打碎了 。

打开网易新闻 查看精彩图片

这不是普通的漏洞提醒,不是实验室里的概念演示,也不是“未来可能有风险”的预警——官方说得很清楚:攻击者已经在用现成工具打苹果设备,攻击正在发生、已经落地,有人已经中招、设备已经被远程控制 。

我身边就有朋友踩坑,也查了最新的官方数据和网安通报,今天把这事掰开说透:到底是什么漏洞、怎么攻击、你有没有危险、现在该做什么。全是4月最新的真实信息,不编、不夸大、不制造恐慌,只讲能落地的干货。

一、先分清:这次和以前的漏洞提醒,完全不一样

以前苹果出漏洞,大多是“发现隐患、建议更新”,属于“预防性提醒”。这次工信部的提示,关键词是**“已实施网络攻击活动”** 。

简单打个比方:

- 普通漏洞:你家门锁有点松,物业提醒你换锁——隐患,还没小偷来撬。

- 这次:门锁被人配了万能钥匙,小偷已经在你家门口撬锁、甚至已经进屋偷东西了——不是隐患,是正在发生的入侵。

1. 漏洞核心:藏在上网“心脏”里的致命缺陷

漏洞编号:CVE-2026-20643,业内叫Coruna(也叫DarkSword),属于WebKit内核远程代码执行高危漏洞,危害等级最高级“CRITICAL”。

WebKit是什么?它是iPhone/iPad上网的“心脏”——不只是Safari浏览器,微信、抖音、支付宝、淘宝里所有内置网页,全靠它加载运行。也就是说,只要你用苹果设备上网,就可能碰到这个漏洞。

2. 影响范围:几乎覆盖所有主流苹果设备

官方明确:iOS 13.0 至 iOS 17.2.1 全版本受影响。

- iPhone:6s/7/8/X/XS/XR/11/12/13/14/15全系列

- iPad:同期所有主流平板

国内数亿苹果用户,只要没更到iOS 17.3及以上,都在风险区。

3. 攻击现状:工具公开卖,国内已超4.2万台设备中招

工信部+谷歌安全团队最新数据:

- 黑客已经把漏洞做成**“一键攻击工具包”**,在海外论坛、暗网公开售卖,几百到几千美元一套,不懂技术的人买了就能批量攻击。

- 截至4月3日24时,国内已有超4.2万台苹果设备确认被攻击,覆盖全国31个省区市,从北上广深到小县城,无一幸免。

- 攻击不是“小打小闹”:已经有用户隐私泄露、资金被盗、设备被远程控制。

二、真实案例:4月刚发生,别以为离你很远

案例1:北京白领张女士(4月2日中招,iOS 16.5)

张女士收到一条短信:“顺丰快递异常,点击核实取件码”,附带一个短链接。她没多想就点了,页面加载1秒后自动关闭,她以为是垃圾链接,没当回事。

第二天早上,怪事来了:

- 微信自动给所有好友发“我急需用钱,转我2000”;

- 相册里的身份证、银行卡照片被全部删除;

- 支付宝凌晨自动转了两笔199元到陌生账户;

- 手机后台多了一个叫“系统服务”的陌生进程,删不掉、关不了。

她去苹果售后检测,工程师确认:被Coruna漏洞植入木马,已被远程控制7小时,黑客获取了最高权限。售后立刻帮她升级到iOS 17.4,才彻底清除风险。

案例2:深圳个体户李先生(4月1日中招,iOS 17.1)

李先生做建材生意,常用iPad看订单、收付款。他在抖音刷到“建材最新价格表”,点评论区链接想下载表格,页面跳转到Safari后自动关闭。

当天下午:

- iPad自动弹出“系统更新”,他点了“稍后”;

- 晚上发现微信收款码被替换,客户转的8600元直接进了陌生账户;

- 通讯录里所有客户电话被导出,当天收到上百条骚扰短信。

网安部门检测:iOS 17.1系统,被Coruna漏洞攻击,资金损失8600元,设备被完全控制。

三、攻击方式:零门槛、无感知,点一下就中招

黑客不用你下载APP、不用输密码、不用授权,三种最常见方式就能命中,全程无弹窗、无卡顿、无异常提示,你根本不知道手机被黑了。

1. 恶意链接攻击(最常见)

伪装成:快递取件、账号异常、信用卡账单、社保提醒、亲友求助、学校通知、政务通知。

通过:短信、iMessage、微信、QQ、邮件发送链接。

只要点一下,甚至只是在聊天框里预览一下,漏洞就自动触发。

2. 网页投毒

黑客入侵正规网站、短视频平台、资讯页、广告位,植入恶意代码。

你刷视频、看新闻、逛购物网站时,网页自动加载恶意代码,不用你点任何东西,直接中招。

3. App内置网页攻击

微信、抖音、支付宝、淘宝里的内置网页,全靠WebKit加载。

你在这些App里点任何链接、看任何网页,都可能触发漏洞。

中招后果:你的手机完全不属于你了

- 远程控制:开摄像头、麦克风、录屏、监听通话、实时定位;

- 信息窃取:偷相册、通讯录、短信、微信/支付宝密码、银行卡信息、支付记录、身份证照片;

- 恶意操作:自动发广告、转钱、删数据、锁机勒索、冒充你借钱;

- 无感知:后台悄悄运行,你完全没感觉,等发现时已经晚了。

四、10秒自查:你是不是在风险区?(按步骤做,别偷懒)

第一步:查系统版本(最关键)

打开iPhone/iPad → 设置 → 通用 → 关于本机 → 软件版本

- 版本在 13.0 ≤ 版本 ≤ 17.2.1:高危,必须立刻升级。

- 版本 ≥ 17.3:已修复,安全。

- 旧机型(iPhone 6s/7/8)无法升级到17.3:升级到苹果推送的安全更新版(iOS 15.8.7、iOS 16.7.15),也能修复。

第二步:查是否有异常(中招迹象)

- 相册、通讯录、短信莫名被删/修改;

- 微信/QQ自动发消息、朋友圈;

- 银行卡/支付宝有陌生小额转账;

- 后台出现陌生进程、耗电异常、发热严重;

- 收到大量垃圾短信、骚扰电话。

有以上任意一条:立刻断网、升级系统、改密码、联系银行。

五、官方唯一解决方案:升级系统(没有其他办法)

工信部+苹果官方明确:升级系统是修复该漏洞的唯一有效方式,没有任何第三方工具、设置能替代。

升级步骤(按顺序做,别跳步)

1. 备份数据:设置 → Apple ID → iCloud → 立即备份;或电脑用iTunes/Finder备份(重要!升级失败可恢复)。

2. 连稳定WiFi:别用流量,升级包1-3GB,流量不够还慢。

3. 电量≥50%或插电:升级中途断电会变砖。

4. 开始升级:设置 → 通用 → 软件更新 → 下载并安装 → 输入锁屏密码 → 等待(10-30分钟,别操作)。

5. 旧机型处理:iPhone 6s/7/8等无法升级到17.3的,直接更iOS 15.8.7/16.7.15安全更新版。

升级后验证

升级完成后,再去“关于本机”看版本:

- 显示 17.3及以上 或 15.8.7/16.7.15:漏洞已修复,安全。

六、为什么这次工信部直接发预警?2026年网安政策变了

这次不是苹果自己发提醒,而是工信部直接发国家级实战预警,背后是2026年网络安全监管的全面升级。

1. 新《网络安全法》2026年1月1日实施

- 泄露个人信息罚款上限提至1000万元,直接责任人罚款上限100万元;

- 企业发现高危漏洞必须24小时内上报,隐瞒不报重罚;

- AI安全纳入监管,要求平台加强漏洞监测、风险评估。

2. 六项等保新标准2月1日实施

公安部发布六项网络安全等级保护新标准,首次明确移动终端(手机/平板)安全防护要求:

- 企业必须对员工移动终端进行安全管理,定期更新系统、查杀病毒;

- 个人用户也被纳入等保宣传范围,要求“及时更新系统、不点击不明链接”。

3. 地区差异:各地同步行动,覆盖所有用户

- 北上广深:网安部门24小时监测,发现漏洞攻击立刻预警,企业/个人未及时修复会被约谈;

- 中西部地区:通过运营商短信、社区通知、政务号推送,覆盖农村用户;

- 粤港澳大湾区:试点跨境数据安全认证,苹果用户数据出境需备案,进一步降低攻击风险。

七、日常防护:除了升级,还要做这5件事(终身适用)

1. 开启自动更新(最省心)

设置 → 通用 → 软件更新 → 自动更新 → 打开“下载iOS更新”“安装iOS更新”。

好处:苹果推送安全更新后,手机自动下载安装,不用手动操作,避免错过高危漏洞修复。

2. 不点击不明链接(最有效)

- 短信/微信/QQ里的短链接、陌生链接,一律不点;

- 快递、银行、社保通知,直接去官方App查,不点短信链接;

- 亲友发的链接,先打电话确认,别直接点。

3. 关闭Safari自动填充(减少信息泄露)

设置 → Safari浏览器 → 自动填充 → 关闭“联系人信息”“信用卡”“密码”。

好处:即使不小心点了恶意链接,黑客也拿不到你的自动填充信息。

4. 定期改密码(双重验证必开)

- 微信、支付宝、银行App,每3个月改一次密码;

- 所有账号开启双重验证(短信/邮箱/令牌),即使密码泄露,黑客也登不上。

5. 安装官方安全App(辅助防护)

- 苹果官方:安全检查(设置 → 隐私与安全性 → 安全检查),一键检测账号安全、共享权限;

- 国内网安部门推荐:国家反诈中心App,拦截恶意链接、诈骗短信。

总结与深思:你的手机安全,从来不是小事

这次iOS高危漏洞预警,给所有苹果用户敲了警钟:没有绝对安全的设备,只有及时防护的意识。

以前我们总觉得“苹果更稳,不用更系统”,但现实是:黑客一直在找漏洞,攻击一直在发生,你不更新,就是在给黑客留门。

工信部的预警不是营销,是基于全国监测数据的实战提醒;升级系统不是麻烦,是保护自己的唯一有效方式。2026年网络安全监管越来越严,既是对企业的要求,也是对每个普通人的提醒——安全没有小事,防护从更新系统开始。

我们总觉得“黑客离我很远”,但数据显示:每天都有普通人中招,点一下链接,几年的积蓄、所有的隐私就可能被偷走。与其等中招后后悔,不如现在花10分钟升级系统,做好日常防护。

最后想问:你多久没更手机系统了?你知道自己的系统版本在风险区吗?别等出事才重视,现在就去查版本、升级,保护好自己的数字安全。

本文仅为公开政策信息整理与个人解读,不构成任何操作建议,相关业务办理请以官方渠道指引为准,据此操作风险自负。以上为公益科普内容,创作不易,理性交流,感谢理解。