重磅漏洞披露:數億 iPhone 設備存在遠程靜默入侵風險

發(fā)布時間 2026-03-24

3月19日消息,iPhone入侵技術常被比作稀有且難以捉摸的生物:黑客通常只針對極少數精心挑選的目標使用這些技術,行動過程也極為隱蔽謹慎。因此,這些技術在真實環(huán)境中往往難以被發(fā)現。

然而,近期接連發(fā)生的一系列間諜活動和網絡犯罪行動顯示,這類手機接管工具已被嵌入受感染的網站,并以大規(guī)模、無差別的方式入侵了成千上萬部手機。

尤其值得關注的是,一種新技術能夠接管數億臺iOS設備中的任意一臺,如今已以易于復用的形式出現在互聯網上,使全球相當一部分iPhone用戶面臨風險。

DarkSword、Coruna等多個iPhone入侵工具泄露脅

3月18日,谷歌與網絡安全公司iVerify、Lookout的研究人員聯合披露,他們發(fā)現了一種名為DarkSword的復雜iPhone入侵技術。該技術已被部署在受感染的網站上,一旦用戶訪問,這些iOS設備便會在毫無察覺的情況下立即遭到入侵。

盡管該技術不會影響最新版本的iOS,但能夠攻擊運行蘋果此前操作系統(tǒng)版本iOS18的設備。根據蘋果的統(tǒng)計,截至上個月,這類設備仍占iPhone總量的近四分之一。

iVerify聯合創(chuàng)始人兼首席執(zhí)行官Rocky Cole表示:“只需訪問一個熱門網站,大量iOS用戶的全部個人數據就可能被竊取?!彼€指出:“仍在使用舊款蘋果設備或較舊操作系統(tǒng)版本的數億用戶,依然處于易受攻擊的狀態(tài)。”

在DarkSword被曝光的兩周前,另一種更加復雜、功能更完善的入侵工具包Coruna也被公開披露。

 image.png

谷歌表示,Coruna曾被一個由俄羅斯支持的間諜組織以及其他黑客團體使用。盡管DarkSword似乎由不同的開發(fā)者創(chuàng)建,但研究人員發(fā)現,它同樣被這些俄羅斯間諜所使用。

兩款工具已被多個威脅組織利用

Coruna類似,DarkSword工具也被悄悄植入正規(guī)烏克蘭網站組件中,包括在線新聞媒體和某個政府機構網站,用于竊取訪問者手機中的數據。

谷歌稱,除這一俄羅斯間諜行動外,DarkSword此前還曾被用于攻擊沙特阿拉伯、土耳其和馬來西亞的受害者手機。谷歌在博客中指出,在針對土耳其和馬來西亞目標的案例中,土耳其安全與監(jiān)控公司PARSDefense的客戶似乎使用了該入侵工具。這些跡象表明,DarkSword已經擴散至多個不同的黑客組織手中,并且很可能會被更多組織采用。

iVerify聯合創(chuàng)始人兼研究員Matthias Frielingsdorf指出,最近在間諜行動中使用DarkSword的俄羅斯黑客,將完整且未混淆的代碼直接留在這些網站上,任何人都可以訪問并加以復用。代碼中包含英文說明性注釋,對各個組件進行了詳細解釋,并標注了DarkSword這一工具名稱。

他表示,這種疏忽幾乎等同于邀請其他黑客直接使用該工具攻擊更多iPhone用戶。Frielingsdorf說:任何人只需手動收集這些漏洞利用的各個部分,就可以部署到自己的Web服務器上,然后開始感染手機,過程就是如此簡單。而且文檔寫得非常清晰,幾乎沒有門檻。

DarkSword可通殺iOS 18設備竊取個人隱私

Lookout介紹,DarkSword旨在從易受攻擊的iPhone中竊取多種數據,包括密碼和照片,以及iMessageWhatsAppTelegram的聊天記錄、瀏覽器歷史、日歷和備忘錄數據,甚至還會獲取蘋果“健康”應用中的信息。盡管這一入侵行動明顯以間諜活動為主,但DarkSword還會竊取用戶的加密貨幣錢包憑證,這表明黑客可能同時從事以牟利為目的的網絡犯罪活動。

與在用戶手機上安裝持久化間諜軟件不同,DarkSword采用了一種更隱蔽的技術。這種技術更常見于通常針對Windows設備的無文件惡意軟件,通過劫持iPhone操作系統(tǒng)中的合法進程來竊取數據。Cole表示:“它并不是通過加載間諜軟件載荷強行突破文件系統(tǒng),那樣會留下大量容易被檢測到的痕跡,而是按照系統(tǒng)設計的方式調用現有進程,因此留下的痕跡要少得多。”

Cole還指出,這種無文件技術意味著DarkSword的感染在手機重啟后不會持續(xù)存在。相反,它會在入侵后的最初幾分鐘內迅速竊取數據,他將這種方式形容為“速戰(zhàn)速決”模式。

本月早些時候曝光的Coruna iOS入侵工具包可攻擊iOS1317版本,而DarkSword則主要針對大多數iOS18版本,即蘋果在2025年秋季發(fā)布iOS26之前的上一代移動操作系統(tǒng)。

DarkSword包含兩條不同的漏洞利用鏈,分別針對iOS18早期和后期版本中的不同漏洞,具體取決于目標設備運行的系統(tǒng)版本。這意味著,相比Coruna,仍有更多手機面臨DarkSword的風險,尤其是在iOS26推廣速度較慢且不受歡迎的情況下。該系統(tǒng)因“液態(tài)玻璃”等新功能受到批評,一些用戶認為其動畫效果過多,降低了可讀性。

根據蘋果公司以及跟蹤操作系統(tǒng)采用情況的StatCounter上個月發(fā)布的數據,仍有近四分之一的iPhone用戶使用iOS18。要更新iPhone,可依次點擊“設置”“通用”“軟件更新”。用戶還可以查看相關步驟,以限制“液態(tài)玻璃”效果。iVerifyLookout均表示,其安全應用也可以檢測手機是否以已知方式感染了DarkSword。

Coruna系美政府承包商開發(fā),DarkSword或是同類來源

DarkSword的創(chuàng)建者仍然成謎,但研究人員一致認為,幾乎可以確定該工具并非由部署它的俄羅斯黑客開發(fā)。他們更傾向于認為,它源自一家從事入侵技術交易的中間商公司。唯一的例外是代碼中的英文注釋,這些注釋很可能是為向客戶說明使用方法而編寫的。DarkSword最明顯的來源線索在于它與Coruna的關聯。

上周,外媒TechCrunch報道稱,Coruna由Trenchant開發(fā),該公司是美國政府承包商L3Harris的子公司,專門為美國政府開發(fā)入侵技術。Trenchant前員工Peter Williams去年承認曾將公司的工具出售給一家名為Operation Zero的俄羅斯中間商公司,該公司此后已受到美國政府制裁。

盡管沒有明確證據表明DarkSword也由Trenchant開發(fā)或為美國政府打造,但它被同一批可能購買了Coruna訪問權限的俄羅斯黑客使用,這表明DarkSword也可能由Operation Zero或其他漏洞利用中間商出售。Operation Zero未回應WIRED的置評請求。

除了被俄羅斯間諜使用外,Coruna后來還被網絡犯罪分子用于竊取講中文受害者的加密貨幣。這種對iPhone入侵工具包更為魯莽的使用方式,也可能表明Operation Zero愿意將其產品轉售給任何愿意付費的黑客組織。

iPhone入侵技術已形成地下私密交易市場

連續(xù)出現兩種不同且強大的iPhone入侵技術,而且可能都由缺乏篩選機制的中間商公司出售,這表明曾被認為極其罕見、僅用于針對特定個人的高定向攻擊的漏洞利用,如今正逐漸形成一個日益活躍的轉售市場。

Lookout移動威脅情報負責人Justin Albrecht表示:“過去人們認為,只有記者、活動人士或反對派政治人物才會成為攻擊目標,普通公民無需擔心。但現在我們看到,iOS漏洞利用通過不負責任的中間商被分發(fā),已經形成一個市場,使其流入網絡犯罪分子手中。”而這些人在使用時顯然更加缺乏克制。

iVerify的Cole認為,DarkSword被如此大膽地使用,并且在其嵌入的網站上幾乎沒有采取任何防止被發(fā)現的措施。這表明iOS入侵技術如今在黑市上已經非常容易獲取。黑客會無差別地使用這些工具,即便這樣會增加被發(fā)現的風險。

Cole如此描述黑客的心態(tài):“這個沒法用了,我就再去弄一個。他們知道,這類工具到處都是?!?/span>

蘋果公司發(fā)言人在一份聲明中對外媒WIRED表示:“蘋果全球的安全團隊每天都在不懈努力,以保護用戶設備和數據?!甭暶鬟€指出,蘋果已發(fā)布安全更新,可防護Coruna和DarkSword,其中包括上周針對無法運行iOS26的舊設備推出的緊急更新。聲明稱:“保持軟件為最新版本,仍然是用戶維護蘋果設備高安全性的最重要措施。”公司還補充,啟用iOS最嚴格安全設置“鎖定模式”的用戶同樣受到保護。