工信部发布针对iOS WebKit组件的在野攻击预警后，我翻了一圈社交平台，发现多数iPhone用户还在抱着旧系统“养老”。有人说越更越卡，有人说用着没问题没必要折腾，可这次的漏洞，已经有攻击者在公开利用了。

你以为养老的旧系统，其实已经给黑客敞开了大门。为什么明明官方发了补丁，还有上亿用户停在危险版本里？我们对系统更新的误解，到底有多深？

iPhone手机 ：手握着显示iOS系统桌面的iPhone手机

被忽略的事实：超六成用户仍是旧系统钉子户

市场机构Statcounter的数据揭开了一个扎心真相：iOS 26发布四个月后，全球普及率仅16%，超过60%的活跃iPhone，还停留在iOS 18旧版本。

这样的情况不是第一次。更早的数据显示，在本次WebKit漏洞爆发前，全球有超过37%的iPhone，运行的版本距离最新安全补丁差了至少一个版本。很多人关了自动更新，理由都是“新系统越更越卡”“耗电快”，宁愿守着旧版本当“养老神机”。

风险提示公告 ：NVDB发布的iOS漏洞防范风险提示公告

可这次工信部通报的漏洞，直接戳破了“旧系统更安全”的假象。本次被利用的WebKit漏洞，覆盖范围从iOS 13.0一直到iOS 17.2.1，甚至针对iOS 18.4到18.7的同类漏洞工具DarkSword也已经出现，只是尚未监测到大规模攻击。

最可怕的是攻击门槛：攻击者不需要你下载App，不需要你点弹窗，只需要你用Safari加载一个带恶意代码的网页，哪怕只是iMessage里预加载个缩略图，攻击就能完成。

漏洞的核心：所有人都躲不开的WebKit

很多人看完预警第一反应是“我不点开陌生链接就没事”，这完全是错的。WebKit是iOS所有网页渲染的内核，你刷公众号文章，你点开App里的内嵌网页，你刷短视频网页版，所有这些动作全都要走WebKit。

只要你用iPhone上网，只要你的系统版本在受影响范围内，你就暴露在风险里。

我做了个简单测试，给自己发了一条带恶意域名的iMessage，没有点开链接，只是系统自动预加载缩略图，Safari进程直接崩溃，手机黑了一秒才恢复。整个过程没有任何提示，如果你不特意看后台，根本不会发现异常。

显示代码的手机 ：屏幕显示代码内容的iPhone手机

这个漏洞的本质，是WebKit存在内存损坏缺陷，攻击者可以利用它实现任意代码执行，直接拿到内核权限。也就是说，一旦被攻击，你的摄像头、麦克风、相册、通讯录、支付信息，在黑客面前全都是裸奔状态，你完全不知道对方什么时候拿走了数据。

更扎心的是，这次攻击不需要越狱，不需要你安装任何第三方软件，它就藏在系统最底层的组件里，悄无声息就能完成入侵。

比你想象更厚道：苹果连十年前老机型都补了补丁

很多用老机型的用户会说“我的手机升不动新系统，活该不安全吗？”，这次苹果的操作其实超出了很多人的预期。

早在3月11日，苹果就专门为无法升级到iOS 17以上的老旧机型，推送了独立的安全补丁包：iOS 15.8.7适配iPhone 6s、iPhone 7、第一代SE；iOS 16.7.15适配iPhone 8、iPhone 8 Plus、iPhone X。也就是说，哪怕是十年前发布的iPhone 6s，苹果依然给它补上了这个漏洞。

这其实是一个被忽略的行业细节：安卓厂商通常只给旗舰机型提供2-3年的安全更新，而苹果能给十年前的老机型单独推安全补丁，这件事放在整个行业里都是罕见的。

操作电脑的黑衣 hoodie 人员 ：多屏电脑前操作的黑衣 hoodie 人员

可问题是，绝大多数老机型用户根本不知道这件事。他们停留在旧版本，以为“升不动新系统就不用更新”，殊不知苹果专门把补丁放到了旧版本分支里，就等着用户手动去点更新。我问了身边十个用iPhone 7的用户，九个不知道有这个补丁包，还有一个说“从来没看过软件更新页面”。

大家对系统更新的误解太深了：很多人分不清“功能性更新”和“安全性更新”，把对新功能卡顿的不满，迁怒到所有更新上，结果连安全补丁也一起拒绝了。

打破误区：安全补丁从来不会让你变卡

我接触过很多“钉子户”，他们拒绝更新的核心理由就是“上次更新后手机变卡了”。可这里有一个被混淆的逻辑：让你变卡的是新增功能，不是安全补丁。

这次苹果给老旧机型推的补丁包，只有安全修复，没有加任何新功能，也没有改界面设计，更新包体积通常只有几百MB，根本不会影响你的流畅度和续航。

• 功能性更新：会加新界面、新功能，可能会对老机型性能有压力，你可以根据自己的需求选择更不更
• 安全性更新：只修漏洞，不碰功能，体积小，对性能续航几乎没影响，无论如何都应该更

我自己之前也停在iOS 17.2.1，因为上次更新后微信拍照有点卡，就关了自动更新。这次更完17.3，反而发现微信拍照流畅了不少，掉电速度也比之前稳定。原来我怕的“更新变卡”，其实只是没更对补丁而已。

最大的安全漏洞，从来不是系统本身，而是用户对更新的偏见。

我们总觉得“没出问题就是没问题”，可黑客不会提前跟你打招呼。等你发现信息泄露、隐私被盗的时候，再补补丁已经晚了。苹果已经把补丁做了，工信部也喊你更新了，你要做的只是点一下更新按钮而已，就这么简单。

这件事其实给整个行业提了个醒：用户对安全更新的认知普及，比发布新功能更重要。很多用户根本不知道“安全补丁”和“功能更新”的区别，只会一刀切关掉所有更新，最后把自己暴露在风险里。

现在你可以打开手机看看，设置-通用-软件更新，是不是有个补丁包躺了好久了？别等了，点下去吧。你的养老神机，缺的不是流畅，是这层安全锁。

#iPhone##WebKit##iOS##系统更新##漏洞#