安全研究人员发现了一系列针对全球苹果客户的网络攻击。这些黑客活动中使用的工具被称为 Coruna 和 DarkSword,它们已被政府间谍和网络犯罪分子用来窃取人们 iPhone 和 iPad 中的数据。
针对 iPhone 和 iPad 用户的大范围黑客攻击实属罕见。在过去十年中,唯一的先例是针对中国维吾尔族穆斯林以及针对香港民众的攻击。
如今,其中一些强大的黑客工具已在网上泄露,可能使数亿运行过时软件的 iPhone 和 iPad 面临数据被盗的风险。
我们将详细解析关于这些最新 iPhone 和 iPad 黑客威胁的已知和未知信息,以及您可以采取哪些措施来保护自己。
什么是 Coruna 和 DarkSword?
Coruna 和 DarkSword 是两套先进的黑客工具包,每个工具包都包含一系列漏洞利用程序,能够侵入 iPhone 和 iPad 并窃取个人数据,例如信息、浏览器数据、位置记录和加密货币。
发现这些工具包的安全研究人员表示,Coruna 的漏洞利用程序可以入侵运行 iOS 13 至 iOS 17.2.1(于 2023 年 12 月发布)的 iPhone 和 iPad。
然而,根据正在调查该代码的谷歌安全研究人员的说法,DarkSword 包含的漏洞利用程序能够入侵运行较新设备上 iOS 18.4 和 18.7(于 2025 年 9 月发布)的 iPhone 和 iPad。
但 DarkSword 对公众的威胁更为直接。有人泄露了 DarkSword 的部分内容,并将其发布在代码共享网站 GitHub 上,使得任何人都可以轻松下载该恶意代码,并发起针对运行旧版本 iOS 的苹果用户的攻击。
Coruna 和 DarkSword 是如何工作的?
这类攻击本质上是不分青红皂白且危险的,因为它们可能波及任何访问了托管恶意代码的特定网站的人。
在某些情况下,受害者仅仅通过访问被恶意黑客控制的合法网站就可能被入侵。
当受害者最初被感染时,Coruna 和 DarkSword 会利用 iOS 中的多个漏洞,让黑客实际上完全控制目标设备,从而窃取受害者的私人数据。数据随后会被上传到黑客运营的网络服务器上。
这些黑客工具来自哪里?
正如 TechCrunch 此前报道的那样,Coruna 工具包的至少部分内容最初由 Trenchant 开发,Trenchant 是美国国防承包商 L3Harris 旗下的一个黑客和间谍软件部门,该公司向美国政府及其主要盟友出售漏洞利用程序。
卡巴斯基还将 Coruna 工具包中的两个漏洞与 Operation Triangulation 联系起来,这是一项复杂的、可能由政府主导的复杂攻击,据称是针对俄罗斯 iPhone 用户进行的。
在 Trenchant 开发出 Coruna 之后——具体过程尚不清楚——这些漏洞利用程序不知何故落入了俄罗斯间谍和中国网络犯罪分子的手中,可能是通过一个或多个在地下市场销售漏洞利用程序的中介。
Coruna 的传播再次表明,强大的黑客工具,即使是那些为美国在严格保密限制下开发的工具,也可能泄露并失控扩散。
一个例子是 2017 年,美国国家安全局开发的一个漏洞利用程序在网上泄露,该程序能够远程侵入全球的 Windows 电脑。随后,同一个漏洞利用程序被用于破坏性的 WannaCry 勒索软件攻击,该攻击不分青红皂白地入侵了全球数十万台电脑。
就 DarkSword 而言,研究人员观察到针对中国、马来西亚、土耳其、沙特阿拉伯和乌克兰用户的攻击。目前尚不清楚 DarkSword 最初是由谁开发的,它是如何最终落入不同黑客组织手中的,也不清楚这些工具是如何在网上泄露的。
DarkSword 工具是如何在网上泄露的?
目前尚不清楚是谁将其泄露并发布到 GitHub 上,也不清楚其动机。
TechCrunch 看到的这些黑客工具是用网络语言 HTML 和 JavaScript 编写的,这使得任何想要发起恶意攻击的人都可以相对容易地进行配置并托管在任何地方。(TechCrunch 不提供 GitHub 链接,因为这些工具可用于恶意攻击。)在 X 上发布消息的研究人员已经通过入侵自己运行易受攻击版本的苹果软件设备,测试了泄露的工具。
移动安全公司 Lookout 的首席研究员贾斯汀·阿尔布雷希特向 TechCrunch 解释说,DarkSword 现在”基本上是即插即用”。
GitHub 告诉 TechCrunch,它没有删除泄露的代码,但会将其保留用于安全研究。
GitHub 的在线安全法律顾问杰西·杰拉奇告诉 TechCrunch:”GitHub 的可接受使用政策禁止发布直接支持造成技术危害的非法活动攻击或恶意软件活动的内容。但是,我们不禁止发布可用于开发恶意软件或漏洞利用程序的源代码,因为此类源代码的发布和分发具有教育价值,并为安全社区带来净效益。”
我的 iPhone 或 iPad 容易受到 DarkSword 的攻击吗?
如果您使用的 iPhone 或 iPad 没有更新,您应立即考虑更新。
苹果告诉 TechCrunch,运行 iOS 15 至 iOS 26 最新版本的用户已经受到保护。
根据 iVerify 的说法:”我们强烈建议更新到 iOS 18.7.6 或 iOS 26.3.1。这将缓解这些攻击链中利用的所有漏洞。”
根据苹果自己的统计数据,近三分之一的 iPhone 和 iPad 用户仍未运行最新的 iOS 26 软件。这意味着可能有数亿台设备容易受到这些黑客工具的攻击,因为苹果宣称其全球活跃设备超过 25 亿部。
如果我无法或不想升级到 iOS 26 怎么办?
苹果还表示,运行”锁定模式”(一种自 iOS 16 起首次引入的可选额外安全功能)的设备也能阻止这些特定攻击。
“锁定模式”对记者、异见人士、人权活动家以及任何可能因其身份或所从事工作而成为目标的人都有帮助。
虽然”锁定模式”并非完美无缺,但迄今为止还没有公开证据表明黑客能够绕过其保护措施。苹果告诉 TechCrunch,尚未发现任何成功针对任何使用”锁定模式”的苹果设备用户发起间谍软件攻击的案例。此前曾发现,”锁定模式”至少阻止了一次在人权捍卫者手机上植入间谍软件的企图。
已更新,以包含苹果关于启用”锁定模式”用户免受攻击的新声明。