安全研究人员发现了一系列针对全球苹果用户的网络攻击。这些黑客工具被称为Coruna和DarkSword,曾被政府间谍和网络犯罪分子用来窃取iPhone和iPad用户的数据。
针对iPhone和iPad用户的大规模攻击极为罕见。过去十年中,类似事件仅发生在中国针对维吾尔族穆斯林的攻击,以及香港地区的相关攻击。
如今,这些强大的黑客工具部分已在网络上泄露,可能使数以亿计运行过时系统的iPhone和iPad面临数据被盗的风险。
本文将解析我们已知和未知的最新iPhone及iPad黑客威胁,并提供保护建议。
什么是Coruna和DarkSword?
Coruna和DarkSword是两套先进的黑客工具包,包含多种漏洞利用手段,能够入侵iPhone和iPad,窃取用户的消息、浏览数据、位置信息及加密货币等敏感数据。
安全研究人员表示,Coruna的漏洞利用针对运行iOS 13至2023年12月发布的iOS 17.2.1的设备有效。
而DarkSword则包含能攻击运行2025年9月发布的iOS 18.4至18.7版本设备的漏洞。
但对公众而言,DarkSword的威胁更为直接。有人将DarkSword部分代码泄露并发布在代码托管平台GitHub上,任何人都可下载并利用这些恶意代码发起针对旧版iOS用户的攻击。
Coruna和DarkSword如何工作?
这类攻击通常是无差别且危险的,任何访问含有恶意代码的网站的用户都有可能被感染。
在某些情况下,受害者仅需访问一个由黑客控制的合法网站即可被攻击。
一旦感染,Coruna和DarkSword会利用iOS中的多个漏洞,几乎完全控制目标设备,窃取用户隐私数据,并上传至黑客控制的服务器。
这些黑客工具的来源?
据TechCrunch报道,Coruna工具包的部分组件最初由美国国防承包商L3Harris旗下的黑客和间谍软件部门Trenchant开发,该部门向美国政府及其盟友出售漏洞利用工具。
安全公司卡巴斯基将Coruna中的两个漏洞与名为“Operation Triangulation”的复杂政府主导网络攻击联系起来,该攻击针对俄罗斯iPhone用户。
Coruna工具包在开发后,不知何故流入了俄罗斯间谍和中国网络犯罪分子手中,可能通过地下市场的中间人转手。
这再次证明,即使是美国政府严格保密开发的强大黑客工具,也可能泄露并失控传播。
类似事件曾发生于2017年,美国国家安全局开发的可远程入侵全球Windows电脑的漏洞被泄露,随后被用于造成全球范围内数十万台电脑受害的WannaCry勒索软件攻击。
至于DarkSword,研究人员发现其攻击目标包括中国、马来西亚、土耳其、沙特阿拉伯和乌克兰用户,但其开发者身份及泄露途径仍不明。
DarkSword工具如何泄露?
目前尚不清楚是谁以及为何将DarkSword代码泄露并发布到GitHub。
TechCrunch查看的这些工具使用HTML和JavaScript编写,任何人都能轻松配置并自托管,发动恶意攻击。
部分研究人员已在社交平台测试这些泄露工具,成功入侵运行易受攻击iOS版本的苹果设备。
移动安全公司Lookout的首席研究员Justin Albrecht称,DarkSword现已“几乎即插即用”。
GitHub表示,虽然未删除泄露代码,但会保留以供安全研究使用。
GitHub在线安全顾问Jesse Geraci指出,平台禁止发布直接支持非法攻击或恶意软件活动的内容,但允许发布可能被用于开发恶意软件的源代码,因为这对安全社区具有教育意义和整体益处。
我的iPhone或iPad会被DarkSword攻击吗?
如果你的设备未更新到最新系统,建议立即升级。
苹果告诉TechCrunch,运行iOS 15至iOS 26最新版本的用户已受到保护。
安全服务iVerify强烈建议升级至iOS 18.7.6或iOS 26.3.1,以修补所有被利用的漏洞。
根据苹果官方统计,约三分之一的iPhone和iPad用户尚未升级至iOS 26,这意味着全球数亿设备可能面临风险。苹果称其全球活跃设备超过25亿台。
如果我不能或不想升级到iOS 26怎么办?
苹果表示,启用锁定模式(Lockdown Mode)的设备也能阻止这些攻击。锁定模式是iOS 16引入的可选安全功能。
锁定模式特别适合记者、异见人士、人权活动家及任何可能成为攻击目标的人群。
虽然锁定模式并非完美,但目前没有公开证据显示黑客成功绕过其防护。苹果称尚未发现任何使用锁定模式用户遭受间谍软件攻击的案例。
锁定模式曾成功阻止过一次针对人权捍卫者手机的间谍软件植入尝试。
本文已更新,包含苹果关于启用锁定模式用户未遭受攻击的新声明。
