北京時(shí)間9月13日凌晨，萬眾期盼、全球矚目的蘋果年度發(fā)布會(huì)將在新落成的喬布斯劇場(chǎng)舉行，全世界的果粉們都在期待著iphone8的真容。

　　如果在這個(gè)時(shí)候告訴你，將近一半的iOS設(shè)備是不安全的，你會(huì)感到擔(dān)憂嗎？

　　百度安全實(shí)驗(yàn)室的一組研究數(shù)據(jù)顯示：iOS最新版本發(fā)布已經(jīng)50多天，國(guó)內(nèi)的上億臺(tái)蘋果iOS設(shè)備中，只有54%的設(shè)備升級(jí)到了最新版的10.3.3系統(tǒng)，其余的近半設(shè)備還停留在舊版本，這些用戶正面臨著高危漏洞的威脅，一不小心就可能成為下一個(gè)“艷照門”的主角。

　　蘋果iOS迎來碎片化 舊版設(shè)備分散在44個(gè)版本中

　　跟安卓相比，iOS系統(tǒng)向來升級(jí)快、安全性高，因此深入果粉們的心。不過，最近百度安全卻發(fā)現(xiàn)，事實(shí)上國(guó)內(nèi)只有54%的用戶升級(jí)到了最新的iOS 10.3.3系統(tǒng)，剩余的近半數(shù)國(guó)內(nèi)iOS設(shè)備依然停留在受高危漏洞影響的舊版系統(tǒng)。即使最新的iPhone7系列機(jī)型，也有近32%的設(shè)備沒有及時(shí)升級(jí)。

　　iOS系統(tǒng)的舊版本也呈現(xiàn)出了碎片化的趨勢(shì)。沒有升級(jí)的設(shè)備分散在44個(gè)iOS舊版本中。其中舊版iOS10的系統(tǒng)有11個(gè)，停留在這些版本的用戶占27.3%。另外，還有超過18%的用戶停留在iOS 10之前的版本。其中，發(fā)布已經(jīng)兩年的iOS 9 占比11.9%，發(fā)布已經(jīng)三年的iOS 8 占比 6% 。

　　從機(jī)型分類的數(shù)據(jù)可以看出，機(jī)型越老，系統(tǒng)更新及時(shí)性越差。這并不難理解，因?yàn)榕f版設(shè)備的硬件性能相對(duì)比較差，升級(jí)到新版本的系統(tǒng)不但沒有提升體驗(yàn)，反而可能更卡頓，更消耗內(nèi)存和性能。所以很多iPhone5s、iPhone6的用戶都不愿升級(jí)到最新版系統(tǒng)。所以每一次蘋果新品發(fā)布，都意味著新版的iOS系統(tǒng)對(duì)硬件性能的要求進(jìn)一步提升了。這不可避免的降低舊機(jī)型的用戶體驗(yàn)，所以一部分舊版機(jī)型的用戶會(huì)選擇留在舊版iOS版本而不愿升級(jí)。

　　“過去的4年里，蘋果iOS總共發(fā)布了45個(gè)版本。”百度安全專家解釋稱：“每個(gè)小版本都有一些用戶停留，導(dǎo)致了系統(tǒng)版本的碎片化。只有一直保持升級(jí)到最新系統(tǒng)的用戶才可能最大限度地免受安全威脅。”

　　不升級(jí)=風(fēng)險(xiǎn)被放大N倍

　　每一次系統(tǒng)升級(jí)都不是無緣無故，要么提升性能，要么打安全補(bǔ)丁，要么優(yōu)化界面提升用戶體驗(yàn)。這其中，安全性是最重要的更新。據(jù)統(tǒng)計(jì)，在過去的一年里，蘋果陸續(xù)發(fā)布了12個(gè)iOS版本，總共修復(fù)338個(gè)安全漏洞。

　　新的系統(tǒng)版本發(fā)布之后，升級(jí)就意味著安全，不升級(jí)的風(fēng)險(xiǎn)卻呈現(xiàn)出了幾倍甚至幾十倍的放大。為什么這么說？百度安全專家解釋說，每次iOS系統(tǒng)發(fā)布新版本后，新版本已修復(fù)的部分漏洞細(xì)節(jié)以及利用方法會(huì)被研究者公開。甚至一些漏洞利用的完整代碼也會(huì)公開發(fā)布供研究交流。這本是為安全技術(shù)發(fā)展做出的貢獻(xiàn)，但同時(shí)也為黑客提供了便利。黑客不花一分錢就獲得了攻擊蘋果系統(tǒng)的“大殺器”，對(duì)那些沒升級(jí)的用戶發(fā)起攻擊。

　　還記得去年8月蘋果緊急發(fā)布iOS9.3.5版本嗎？版本升級(jí)只有一個(gè)原因：“提供了重要的安全性更新，推薦所有用戶安裝”。這次系統(tǒng)更新源于名叫“三叉戟”的系列0Day漏洞，果粉們只要訪問一個(gè)惡意網(wǎng)站， 手機(jī)就可能被黑客遠(yuǎn)程越獄，獲取最高權(quán)限，對(duì)手機(jī)進(jìn)行操作、控制，可以查看攝像頭、竊聽你的談話和錄音，查看你的應(yīng)用信息。要拿到你手機(jī)里的照片，就像探囊取物一樣容易！這是蘋果歷史上第一次公開披露針對(duì)iOS的APT 0day攻擊，并且在短時(shí)間內(nèi)就火線修復(fù)了漏洞，并且強(qiáng)烈建議所有用戶安裝更新。但到現(xiàn)在為止，還有超過1/6的蘋果設(shè)備還停留在比9.3.5更老的版本呢！可想而知，這些用戶的隱私?jīng)]準(zhǔn)早就在網(wǎng)上裸奔了。

　　即使是最近的iOS 10.3.2，也一樣含有高危漏洞。而且漏洞利用方法的研究性源碼已經(jīng)公開到著名開源托管網(wǎng)站github上。如果用戶不及時(shí)升級(jí)到最新的iOS 10.3.3版本，也面臨著嚴(yán)峻的安全威脅。

　　百度安全專家：盡快升級(jí)到最新版本

　　因?yàn)闆]有采用熱修復(fù)技術(shù)(不用系統(tǒng)升級(jí)就能修復(fù)漏洞的技術(shù)稱為“熱修復(fù)”)，所以蘋果用戶只能通過升級(jí)到最新版本，才能避免被惡意攻擊。

　　百度安全統(tǒng)計(jì)發(fā)現(xiàn)，目前國(guó)內(nèi)升級(jí)到 iOS 10.3.3的用戶主要來自10.3.2這個(gè)版本，這部分用戶升級(jí)習(xí)慣較好，會(huì)在接到新版本通知時(shí)及時(shí)升級(jí)系統(tǒng)。升級(jí)系統(tǒng)的設(shè)備中，近80%在發(fā)布后新版本的三周之內(nèi)選擇了升級(jí)，隨后整個(gè)升級(jí)趨勢(shì)放緩。其他各殘留舊版本均有少量用戶選擇升級(jí)，但大多數(shù)用戶仍然選擇停留在舊版系統(tǒng)。

　　值得注意的是，iOS系統(tǒng)升級(jí)需要蘋果服務(wù)端驗(yàn)證，服務(wù)端只允許iOS系統(tǒng)升級(jí)至當(dāng)前的最新版，這種升級(jí)策略在一定程度上可以避免用戶在部分中間版本有滯留，緩解安全生態(tài)碎片化的問題。然而，實(shí)際的統(tǒng)計(jì)結(jié)果顯示，iOS安全生態(tài)碎片化問題依然存在，用戶選擇不升級(jí)的帶來的安全隱患不容忽視。

　　北京時(shí)間9月13日，蘋果將發(fā)布iOS11，在提供新功能同時(shí)，還會(huì)修復(fù)大量安全漏洞。百度安全建議廣大用戶在條件允許的情況下及時(shí)升級(jí)到最新版本，避免受到高危漏洞影響。“同時(shí)我們也呼吁手機(jī)廠商采用更有效的技術(shù)保護(hù)普通用戶，防止他們受到已知高危漏洞的威脅。