高級iPhone黑客工具泄露，這些工具從何而來如何防范

TechCrunch 報道稱，安全研究人員近期發(fā)現(xiàn)了一系列針對全球蘋果用戶的網(wǎng)絡(luò)攻擊。

這些黑客活動中使用的工具被命名為科魯納（Coruna）和暗劍（DarkSword），一些間諜與網(wǎng)絡(luò)犯罪分子均利用它們竊取iPhone和iPad用戶的數(shù)據(jù)。

針對iPhone和iPad用戶的大規(guī)模黑客攻擊極為罕見。在過去十年里，類似先例僅出現(xiàn)過兩次：一次是針對東大維吾爾穆斯林群體的攻擊，另一次則是針對香港民眾的攻擊。

如今，部分這類強力黑客工具已在網(wǎng)上泄露，可能導致數(shù)億臺運行過時系統(tǒng)的iPhone和iPad面臨數(shù)據(jù)被盜的風險。

我們將梳理關(guān)于這一波最新iPhone、iPad黑客威脅的已知與未知信息，以及你可以采取哪些防護措施。

什么是科魯納（Coruna）和暗劍（DarkSword）？

科魯納（Coruna）和暗劍（DarkSword）是兩套高級黑客工具套件，每套都包含多種漏洞利用程序，能夠入侵iPhone和iPad，并竊取用戶數(shù)據(jù)，例如短信、瀏覽器記錄、位置歷史以及加密貨幣資產(chǎn)等。

發(fā)現(xiàn)這些工具套件的安全研究人員表示，科魯納所利用的漏洞，可入侵運行 iOS 13 至 iOS 17.2.1 系統(tǒng)的iPhone和iPad，其中iOS 17.2.1是蘋果在2023年12月發(fā)布的系統(tǒng)版本。

而據(jù)參與代碼分析的谷歌安全研究人員稱，暗劍（DarkSword） 所包含的漏洞利用程序，甚至能入侵搭載更新系統(tǒng)的iPhone和iPad，受影響版本為 iOS 18.4 與 iOS 18.7，這兩個系統(tǒng)均發(fā)布于2025年9月。

但對普通公眾而言，暗劍帶來的威脅更為緊迫。已有人員泄露了暗劍的部分代碼，并將其發(fā)布在代碼分享平臺 GitHub 上，這意味著任何人都能輕易下載這些惡意代碼，自行發(fā)起攻擊，目標直指仍在使用舊版iOS系統(tǒng)的蘋果用戶。

科魯納和暗劍是如何運作的？

這類攻擊本質(zhì)上具有無差別攻擊的特性，因此十分危險——任何訪問搭載惡意代碼的特定網(wǎng)站的用戶，都可能落入陷阱。

在某些情況下，受害者只需訪問一個被黑客控制的正規(guī)網(wǎng)站，就會遭到入侵。

受害者一旦初步被感染，科魯納和暗劍就會利用iOS中的多個漏洞，讓黑客實際上完全掌控目標設(shè)備，進而竊取用戶的隱私數(shù)據(jù)。這些數(shù)據(jù)隨后會被上傳到黑客操控的網(wǎng)絡(luò)服務(wù)器中。

這些黑客工具從何而來？

據(jù)科技網(wǎng)站TechCrunch此前報道，科魯納工具套件至少有一部分最初由Trenchant公司開發(fā)。

該公司是美國國防承包商L3Harris旗下專攻黑客技術(shù)與間諜軟件的部門，主要向美國當局及其核心盟友出售漏洞利用工具。

卡巴斯基實驗室還發(fā)現(xiàn)，科魯納工具包中的兩項漏洞利用程序，與“三角行動（Operation Triangulation）”有關(guān)聯(lián)。

這是一場復雜、疑似由當局主導的網(wǎng)絡(luò)攻擊，據(jù)稱針對俄羅斯iPhone用戶實施。

Trenchant研發(fā)出科魯納之后——具體途徑目前尚不清楚——這些漏洞工具最終落入了俄羅斯間諜和東大網(wǎng)絡(luò)犯罪分子手中，傳播渠道可能是通過地下黑市上倒賣漏洞的一個或多個中間商。

科魯納的擴散軌跡再次表明，即便是在美國嚴格保密管控下研發(fā)的強力黑客工具，也可能發(fā)生泄露并失控蔓延。

2017 年就曾發(fā)生過類似事件：美國國家安全局（NSA）研發(fā)的一款可遠程入侵全球 Windows 電腦的漏洞工具在網(wǎng)上泄露。

隨后，該漏洞被用于破壞性極強的 WannaCry 勒索軟件攻擊，無差別入侵了全球數(shù)十萬臺電腦。

而在暗劍（DarkSword）事件中，研究人員已觀測到針對東大、馬來西亞、土耳其、沙特阿拉伯和烏克蘭用戶的攻擊。

目前尚不清楚暗劍最初由誰開發(fā)、如何落入不同黑客組織手中，以及這些工具是如何在網(wǎng)上泄露的。

暗劍（DarkSword）工具是如何泄露到網(wǎng)上的？

目前尚不清楚是誰將其泄露并發(fā)布到了GitHub平臺，也不清楚其動機為何。

TechCrunch已見過這些黑客工具，其代碼使用網(wǎng)頁語言HTML和JavaScript編寫。

這意味著，任何想要發(fā)動惡意攻擊的人，都能相對輕松地對其進行配置，并自行部署在任意服務(wù)器上。

有研究人員在社交平臺X上發(fā)文稱，他們已通過入侵自己運行著易受攻擊系統(tǒng)版本的蘋果設(shè)備，對這些泄露的工具進行了測試。

移動安全公司Lookout的首席研究員賈斯汀·阿爾布雷希特向TechCrunch解釋道，暗劍（DarkSword）如今基本做到了“即插即用”。

GitHub 向 TechCrunch 表示，并未下架這段泄露的代碼，而是會將其保留，用于安全研究。

GitHub 網(wǎng)絡(luò)安全法律顧問杰西·杰拉奇對 TechCrunch 稱：

“GitHub 的可接受使用政策禁止發(fā)布那些直接用于支持正在造成技術(shù)損害的非法主動攻擊或惡意軟件活動的內(nèi)容。”

“但我們并不禁止發(fā)布可能被用于開發(fā)惡意軟件或漏洞利用程序的源代碼，因為這類源代碼的發(fā)布與傳播具有教育意義，且從整體上對安全社區(qū)有益。”

我的iPhone或iPad會受到暗劍（DarkSword）攻擊嗎？

如果你的iPhone或iPad系統(tǒng)沒有更新到最新版本，建議你立即升級。

蘋果公司向TechCrunch表示，運行iOS 15 至 iOS 26 最新版本的用戶已經(jīng)受到保護。

據(jù)安全工具iVerify稱：“我們強烈建議升級到 iOS 18.7.6 或 iOS 26.3.1。這將修復此次攻擊鏈中被利用的所有漏洞。”

根據(jù)蘋果官方數(shù)據(jù)，近三分之一的iPhone和iPad用戶仍未升級至最新的 iOS 26 系統(tǒng)。

蘋果稱其全球活躍設(shè)備總量已超25億臺，這意味著有數(shù)億臺設(shè)備可能面臨這些黑客工具的攻擊風險。

如果我無法或不想升級到 iOS 26 該怎么辦？

蘋果同時表示，開啟鎖定模式（Lockdown Mode）的設(shè)備也可抵御此類特定攻擊。

鎖定模式是蘋果在 iOS 16 中首次推出的一項可選增強安全功能。

雖然鎖定模式并非完美無缺，但截至目前，尚無公開證據(jù)表明黑客能夠繞過其防護機制。（我們已就這一說法向蘋果求證，若收到回復將更新內(nèi)容。）

有案例顯示，鎖定模式曾成功阻止至少一起試圖在人權(quán)活動人士手機上安裝間諜軟件的攻擊。