为什么你应该尽快更新你的 iPhone，即使它很旧

过去一周，Apple 发布了多项重要的安全更新，包括 iOS 16、iOS 15 甚至 iOS 12 的更新，以保护 iPhone 免受仍然存在的重大漏洞的影响。这也适用于旧款 iPhone 机型。

尽管 iPhone 5s 于 2013 年发布，并于 2016 年停产，但 Apple 仍会不时为它提供关键的软件更新。这些旧设备的最新软件 iOS 12.5.7 于上周发布，并修复了旧款 iPhone 和 iPad 中名为 CVE-2022-42856 的漏洞，包括 iPhone 5s、iPhone 6、iPhone 6 Plus、iPad Air、iPad mini 2、iPad mini 3 和 iPod touch（第 6 代）。

对于较新版本的 iPhone，CVE-2022-42856 已于 11 月底作为 iOS 16.1.2 的一部分被修复。随着 iOS 15.7.2、iPadOS 15.7.2、tvOS 16.2 和 macOS Ventura 13.1 的发布，其他设备上也解决了该问题。基本上，如果您几周来一直在 Apple 更新中点击“明天提醒我”，那么现在是时候这样做了。

CVE-2022-42856 是 Apple 浏览器引擎 WebKit 中的一个漏洞，最早于去年年底由 Google 威胁分析小组的 Clément Lecigne 发现。该漏洞允许攻击者创建恶意 Web 内容，从而在 iPhone、iPad、Mac 甚至 Apple TV 上执行代码。尽管每个人都对漏洞的具体细节讳莫如深，以免更多恶意攻击者发现，但该漏洞的严重性评分为“高”。评分等级包括无、低、中、高和严重。评分取决于此类漏洞给攻击者带来的控制程度，以及实施的难易程度和范围。

至关重要的是，苹果公司于 1 月 23 日表示，已收到报告称该问题正在被“积极利用”。换句话说，有黑客利用它来攻击苹果设备（包括运行 iOS 12 的旧设备），因此最好进行更新以确保安全。

除了 CVE-2022-42856，上周发布的 iOS 16.3、iPadOS 16.3、macOS Ventura 13.2 和 watchOS 9.3 还修复了大量漏洞。其中包括另外两个 WebKit 漏洞，可能允许攻击者执行恶意代码，两个 macOS 拒绝服务漏洞，以及两个 macOS 内核漏洞，这些漏洞可能被滥用来泄露敏感信息、执行恶意代码或确定其内存结构的详细信息——可能允许进一步攻击。

但这些最新更新不仅仅处理错误。在去年宣布之后，苹果已为 Apple ID 添加了对安全密钥的支持。基本上，当您登录 Apple ID 时，您可以使用通过 USB 端口、Lightning 端口或 NFC 连接到 Apple 设备的硬件安全密钥，而不是获取发送到手机的可能被黑客拦截的双因素身份验证 (2FA) 代码。它明显更安全，因为攻击者必须物理窃取您的安全密钥并获取您的密码才能访问您的帐户。

要开始为手机设置硬件安全系统，您需要至少两个与 Apple 设备兼容的 FIDO 认证安全密钥，以防丢失。Apple 建议大多数 Mac 和 iPhone 型号使用 YubiKey 5C NFC 或 YubiKey 5Ci，旧款 Mac 使用 FEITAN ePass K9 NFC USB-A。您还需要将设备更新到 iOS 16.3 和 macOS Ventura 13.2。准备就绪后，您可以在相关设置应用的“密码和安全”部分中将安全密钥连接到您的帐户。