上周,网络安全研究人员发现了一场针对iPhone用户的黑客攻击活动,使用了一种名为DarkSword的高级黑客工具。如今,有人泄露了更新版本的DarkSword,并将其发布在代码共享平台GitHub上。
研究人员警告称,这将使任何黑客都能轻松利用该工具攻击运行旧版苹果操作系统且尚未升级至最新iOS 26的iPhone用户。根据苹果关于过时设备的数据,这可能影响数亿正在使用的iPhone和iPad。
移动安全初创公司iVerify的联合创始人Matthias Frielingsdorf告诉TechCrunch:“情况非常糟糕,这些工具太容易被重新利用了。我认为已经无法遏制这种情况,我们必须预期犯罪分子和其他人会开始部署这些工具。”
Frielingsdorf表示,这些新版本的DarkSword间谍软件与他和同事之前分析的版本共享相同的基础架构,尽管文件略有不同。上传到GitHub的文件非常简单,仅包含HTML和JavaScript,任何人都可以复制粘贴并在几分钟到几小时内搭建服务器。
“这些漏洞利用工具开箱即用,不需要任何iOS专业知识。”
谷歌发言人Kimberly Samra表示,公司研究人员同意Frielingsdorf的评估。另一位安全爱好者matteyeux也向TechCrunch透露,使用泄露的DarkSword样本非常简单。他在社交平台X上表示,自己成功利用网络流传的DarkSword样本攻破了一台运行iOS 18的iPad mini。
苹果发言人Sarah O’Rourke告诉TechCrunch,苹果已知晓针对旧版和过时操作系统设备的漏洞攻击,并于3月11日发布了紧急更新,适用于无法运行最新iOS版本的设备。
“保持软件更新是维护苹果产品安全的最重要措施。”她补充道,已更新软件的设备不会受到这些攻击威胁,且“锁定模式”也能阻止此类攻击。
微软作为GitHub的所有者,目前尚未对置评请求作出回应。
TechCrunch未提供该代码链接,以防其被用于实际攻击。代码中包含多条注释,详细说明了漏洞的工作原理及实施方法。
其中一条注释可能由DarkSword开发者撰写,指出该漏洞“通过HTTP读取并窃取iOS设备中的法医相关文件”,即从用户的iPhone或iPad窃取信息并发送至攻击者控制的服务器。
注释还提到:“该载荷应注入具有文件系统访问权限的进程。”
代码中还涉及“后期利用活动”,描述恶意软件获得设备访问权限后,如何抓取联系人、消息、通话记录以及存储Wi-Fi密码等机密的iOS钥匙串,并将数据传输到远程服务器。
另有文件提及将数据上传至一家乌克兰知名服装网站,TechCrunch暂未查明原因。此前有报道称,DarkSword被俄罗斯政府黑客用于针对乌克兰的攻击。
据iVerify、谷歌和Lookout的分析,该间谍软件专门针对运行iOS 18的iPhone和iPad设备。
根据苹果官方数据,约四分之一的iPhone和iPad用户仍使用iOS 18或更早版本。考虑到苹果活跃设备超过25亿,这意味着数亿设备可能面临DarkSword攻击风险。
因此,Frielingsdorf建议所有用户尽快升级设备操作系统。
DarkSword的发现距离研究人员发现另一套先进iPhone黑客工具Coruna仅几周时间。Coruna最初由防务承包商L3Harris开发,该公司旗下Trenchant部门为美国政府及其盟友制造黑客工具。
