重大iPhone黑客工具泄露 数百万设备面临风险

安全研究人员发现了一系列针对全球苹果用户的网络攻击活动。这些黑客攻击中使用的工具被称为Coruna和DarkSword，政府间谍和网络犯罪分子都曾使用它们从用户的iPhone和iPad中窃取数据。

针对iPhone和iPad用户的大规模黑客攻击很少见。在过去十年中，仅有的先例是针对中国维吾尔族穆斯林和香港民众的攻击。

如今，这些强大的黑客工具已经泄露到网上，可能使数百万台运行过期软件的iPhone和iPad面临数据被盗的风险。

Coruna和DarkSword是什么

Coruna和DarkSword是两套先进的黑客工具包，每套都包含一系列能够入侵iPhone和iPad并窃取用户数据的攻击代码，如消息、浏览器数据、位置历史和加密货币等。

发现这些工具包的安全研究人员表示，Coruna的攻击代码可以黑进运行iOS 13至iOS 17.2.1版本的iPhone和iPad，后者于2023年12月发布。

然而，根据正在调查该代码的谷歌安全研究人员称，DarkSword包含的攻击代码能够入侵运行更新版本iOS 18.4和18.7的iPhone和iPad设备，这些版本于2025年9月发布。

但DarkSword对普通公众的威胁更为迫切。有人泄露了DarkSword的部分代码并将其发布在代码共享网站GitHub上，使得任何人都能轻易下载这些恶意代码，并针对运行较旧iOS版本的苹果用户发起自己的攻击。

Coruna和DarkSword的工作原理

这类攻击本质上是无差别且危险的，因为任何访问托管恶意代码的特定网站的人都可能受到攻击。

在某些情况下，受害者只需访问被恶意黑客控制的合法网站就可能被入侵。

当受害者最初被感染时，Coruna和DarkSword会利用iOS中的多个漏洞，让黑客几乎完全控制目标设备，从而窃取用户的私人数据。这些数据随后会被上传到黑客运营的网络服务器上。

这些黑客工具的来源

正如TechCrunch此前报道的，Coruna工具包的至少部分组件最初由Trenchant开发，这是美国国防承包商L3Harris内部的黑客和间谍软件部门，专门向美国政府及其主要盟友销售攻击代码。

卡巴斯基还将Coruna工具包中的两个攻击代码与"三角行动"联系起来，这是一次针对俄罗斯iPhone用户的复杂网络攻击，很可能由政府主导。

在Trenchant开发Coruna之后，目前尚不清楚具体经过何种途径，这些攻击代码落入了俄罗斯间谍和中国网络犯罪分子手中，可能是通过一个或多个在地下市场销售攻击代码的中间商。

Coruna的传播再次表明，强大的黑客工具，包括那些在严格保密限制下为美国开发的工具，可能会泄露并失控扩散。

2017年的一个例子是，美国国家安全局开发的一个能够远程入侵全球Windows计算机的攻击代码泄露到网上。同样的攻击代码随后被用于破坏性的WannaCry勒索软件攻击，无差别地入侵了全球数十万台计算机。

就DarkSword而言，研究人员观察到针对中国、马来西亚、土耳其、沙特阿拉伯和乌克兰用户的攻击。目前仍不清楚谁最初开发了DarkSword，它是如何落入不同黑客组织手中的，或者这些工具是如何泄露到网上的。

DarkSword工具如何泄露

目前尚不清楚是谁将工具泄露并发布到GitHub上，也不知道其动机。

TechCrunch看到的这些黑客工具是用网络语言HTML和JavaScript编写的，使得任何想要发起恶意攻击的人都能相对容易地配置和自主托管。已有研究人员在X平台上发帖称，他们通过入侵自己运行易受攻击软件版本的苹果设备来测试这些泄露的工具。

正如移动安全公司Lookout的首席研究员Justin Albrecht向TechCrunch解释的那样，DarkSword现在"基本上是即插即用的"。

GitHub告诉TechCrunch，它没有删除泄露的代码，但会为安全研究保留这些代码。

GitHub的网络安全顾问Jesse Geraci告诉TechCrunch："GitHub的可接受使用政策禁止发布直接支持非法主动攻击或造成技术损害的恶意软件活动的内容。但是，我们不禁止发布可能用于开发恶意软件或攻击代码的源代码，因为发布和分发此类源代码具有教育价值，并为安全社区提供净收益。"

我的iPhone或iPad是否容易受到DarkSword攻击

如果你的iPhone或iPad没有更新到最新版本，应该考虑立即更新。

苹果告诉TechCrunch，运行iOS 15至iOS 26最新版本的用户已经受到保护。

根据iVerify的建议："我们强烈建议更新到iOS 18.7.6或iOS 26.3.1。这将缓解这些攻击链中被利用的所有漏洞。"

根据苹果自己的统计数据，近三分之一的iPhone和iPad用户仍未运行最新的iOS 26软件。这意味着可能有数亿台设备容易受到这些黑客工具的攻击，因为苹果宣称在全球拥有超过25亿台活跃设备。

如果我无法或不想升级到iOS 26怎么办

苹果还表示，运行锁定模式的设备也能阻止这些特定攻击。锁定模式是iOS 16首次引入的可选额外安全功能。

锁定模式对记者、异议人士、人权活动家以及任何认为自己可能因身份或工作而成为攻击目标的人都很有用。

虽然锁定模式并不完美，但目前还没有公开证据表明黑客迄今为止能够绕过其保护。苹果告诉TechCrunch，他们尚未发现任何针对使用锁定模式的用户在任何类型苹果设备上成功植入间谍软件的案例。锁定模式被发现至少阻止了一次在人权捍卫者手机上植入间谍软件的尝试。

Q&A

Q1：Coruna和DarkSword黑客工具包能做什么？

A：Coruna和DarkSword是两套先进的黑客工具包，包含一系列能够入侵iPhone和iPad的攻击代码，可以窃取用户的消息、浏览器数据、位置历史和加密货币等私人数据。Coruna可攻击iOS 13至17.2.1版本，DarkSword则能攻击更新的iOS 18.4和18.7版本。

Q2：iPhone用户如何防护DarkSword攻击？

A：最有效的防护方法是立即将设备更新到最新版本。苹果建议更新到iOS 18.7.6或iOS 26.3.1以缓解所有相关漏洞。如果无法升级，可以启用锁定模式这一额外安全功能，目前还没有公开证据显示黑客能够绕过锁定模式的保护。

Q3：为什么政府开发的黑客工具会泄露给犯罪分子？

A：强大的黑客工具可能会失控扩散，即使是在严格保密限制下为美国政府开发的工具也不例外。Coruna最初由美国国防承包商L3Harris开发，但不知何故落入了俄罗斯间谍和中国网络犯罪分子手中，可能通过地下市场的中间商传播。