TechCrunch 報(bào)道稱，安全研究人員近期發(fā)現(xiàn)了一系列針對(duì)全球蘋(píng)果用戶的網(wǎng)絡(luò)攻擊。

這些黑客活動(dòng)中使用的工具被命名為科魯納（Coruna）和暗劍（DarkSword），一些間諜與網(wǎng)絡(luò)犯罪分子均利用它們竊取iPhone和iPad用戶的數(shù)據(jù)。

針對(duì)iPhone和iPad用戶的大規(guī)模黑客攻擊極為罕見(jiàn)。在過(guò)去十年里，類似先例僅出現(xiàn)過(guò)兩次：一次是針對(duì)東大維吾爾穆斯林群體的攻擊，另一次則是針對(duì)香港民眾的攻擊。

如今，部分這類強(qiáng)力黑客工具已在網(wǎng)上泄露，可能導(dǎo)致數(shù)億臺(tái)運(yùn)行過(guò)時(shí)系統(tǒng)的iPhone和iPad面臨數(shù)據(jù)被盜的風(fēng)險(xiǎn)。

我們將梳理關(guān)于這一波最新iPhone、iPad黑客威脅的已知與未知信息，以及你可以采取哪些防護(hù)措施。

什么是科魯納（Coruna）和暗劍（DarkSword）？

科魯納（Coruna）和暗劍（DarkSword）是兩套高級(jí)黑客工具套件，每套都包含多種漏洞利用程序，能夠入侵iPhone和iPad，并竊取用戶數(shù)據(jù)，例如短信、瀏覽器記錄、位置歷史以及加密貨幣資產(chǎn)等。

發(fā)現(xiàn)這些工具套件的安全研究人員表示，科魯納所利用的漏洞，可入侵運(yùn)行 iOS 13 至 iOS 17.2.1 系統(tǒng)的iPhone和iPad，其中iOS 17.2.1是蘋(píng)果在2023年12月發(fā)布的系統(tǒng)版本。

而據(jù)參與代碼分析的谷歌安全研究人員稱，暗劍（DarkSword） 所包含的漏洞利用程序，甚至能入侵搭載更新系統(tǒng)的iPhone和iPad，受影響版本為 iOS 18.4 與 iOS 18.7，這兩個(gè)系統(tǒng)均發(fā)布于2025年9月。

但對(duì)普通公眾而言，暗劍帶來(lái)的威脅更為緊迫。已有人員泄露了暗劍的部分代碼，并將其發(fā)布在代碼分享平臺(tái) GitHub 上，這意味著任何人都能輕易下載這些惡意代碼，自行發(fā)起攻擊，目標(biāo)直指仍在使用舊版iOS系統(tǒng)的蘋(píng)果用戶。

科魯納和暗劍是如何運(yùn)作的？

這類攻擊本質(zhì)上具有無(wú)差別攻擊的特性，因此十分危險(xiǎn)——任何訪問(wèn)搭載惡意代碼的特定網(wǎng)站的用戶，都可能落入陷阱。

在某些情況下，受害者只需訪問(wèn)一個(gè)被黑客控制的正規(guī)網(wǎng)站，就會(huì)遭到入侵。

受害者一旦初步被感染，科魯納和暗劍就會(huì)利用iOS中的多個(gè)漏洞，讓黑客實(shí)際上完全掌控目標(biāo)設(shè)備，進(jìn)而竊取用戶的隱私數(shù)據(jù)。這些數(shù)據(jù)隨后會(huì)被上傳到黑客操控的網(wǎng)絡(luò)服務(wù)器中。

這些黑客工具從何而來(lái)？

據(jù)科技網(wǎng)站TechCrunch此前報(bào)道，科魯納工具套件至少有一部分最初由Trenchant公司開(kāi)發(fā)。

該公司是美國(guó)國(guó)防承包商L3Harris旗下專攻黑客技術(shù)與間諜軟件的部門(mén)，主要向美國(guó)當(dāng)局及其核心盟友出售漏洞利用工具。

卡巴斯基實(shí)驗(yàn)室還發(fā)現(xiàn)，科魯納工具包中的兩項(xiàng)漏洞利用程序，與“三角行動(dòng)（Operation Triangulation）”有關(guān)聯(lián)。

這是一場(chǎng)復(fù)雜、疑似由當(dāng)局主導(dǎo)的網(wǎng)絡(luò)攻擊，據(jù)稱針對(duì)俄羅斯iPhone用戶實(shí)施。

Trenchant研發(fā)出科魯納之后——具體途徑目前尚不清楚——這些漏洞工具最終落入了俄羅斯間諜和東大網(wǎng)絡(luò)犯罪分子手中，傳播渠道可能是通過(guò)地下黑市上倒賣漏洞的一個(gè)或多個(gè)中間商。

科魯納的擴(kuò)散軌跡再次表明，即便是在美國(guó)嚴(yán)格保密管控下研發(fā)的強(qiáng)力黑客工具，也可能發(fā)生泄露并失控蔓延。

2017 年就曾發(fā)生過(guò)類似事件：美國(guó)國(guó)家安全局（NSA）研發(fā)的一款可遠(yuǎn)程入侵全球 Windows 電腦的漏洞工具在網(wǎng)上泄露。

隨后，該漏洞被用于破壞性極強(qiáng)的 WannaCry 勒索軟件攻擊，無(wú)差別入侵了全球數(shù)十萬(wàn)臺(tái)電腦。

而在暗劍（DarkSword）事件中，研究人員已觀測(cè)到針對(duì)東大、馬來(lái)西亞、土耳其、沙特阿拉伯和烏克蘭用戶的攻擊。

目前尚不清楚暗劍最初由誰(shuí)開(kāi)發(fā)、如何落入不同黑客組織手中，以及這些工具是如何在網(wǎng)上泄露的。

暗劍（DarkSword）工具是如何泄露到網(wǎng)上的？

目前尚不清楚是誰(shuí)將其泄露并發(fā)布到了GitHub平臺(tái)，也不清楚其動(dòng)機(jī)為何。

TechCrunch已見(jiàn)過(guò)這些黑客工具，其代碼使用網(wǎng)頁(yè)語(yǔ)言HTML和JavaScript編寫(xiě)。

這意味著，任何想要發(fā)動(dòng)惡意攻擊的人，都能相對(duì)輕松地對(duì)其進(jìn)行配置，并自行部署在任意服務(wù)器上。

有研究人員在社交平臺(tái)X上發(fā)文稱，他們已通過(guò)入侵自己運(yùn)行著易受攻擊系統(tǒng)版本的蘋(píng)果設(shè)備，對(duì)這些泄露的工具進(jìn)行了測(cè)試。

移動(dòng)安全公司Lookout的首席研究員賈斯汀·阿爾布雷希特向TechCrunch解釋道，暗劍（DarkSword）如今基本做到了“即插即用”。

GitHub 向 TechCrunch 表示，并未下架這段泄露的代碼，而是會(huì)將其保留，用于安全研究。

GitHub 網(wǎng)絡(luò)安全法律顧問(wèn)杰西·杰拉奇對(duì) TechCrunch 稱：

“GitHub 的可接受使用政策禁止發(fā)布那些直接用于支持正在造成技術(shù)損害的非法主動(dòng)攻擊或惡意軟件活動(dòng)的內(nèi)容?！?/p>

“但我們并不禁止發(fā)布可能被用于開(kāi)發(fā)惡意軟件或漏洞利用程序的源代碼，因?yàn)檫@類源代碼的發(fā)布與傳播具有教育意義，且從整體上對(duì)安全社區(qū)有益。”

我的iPhone或iPad會(huì)受到暗劍（DarkSword）攻擊嗎？

如果你的iPhone或iPad系統(tǒng)沒(méi)有更新到最新版本，建議你立即升級(jí)。

蘋(píng)果公司向TechCrunch表示，運(yùn)行iOS 15 至 iOS 26 最新版本的用戶已經(jīng)受到保護(hù)。

據(jù)安全工具iVerify稱：“我們強(qiáng)烈建議升級(jí)到 iOS 18.7.6 或 iOS 26.3.1。這將修復(fù)此次攻擊鏈中被利用的所有漏洞。”

根據(jù)蘋(píng)果官方數(shù)據(jù)，近三分之一的iPhone和iPad用戶仍未升級(jí)至最新的 iOS 26 系統(tǒng)。

蘋(píng)果稱其全球活躍設(shè)備總量已超25億臺(tái)，這意味著有數(shù)億臺(tái)設(shè)備可能面臨這些黑客工具的攻擊風(fēng)險(xiǎn)。

如果我無(wú)法或不想升級(jí)到 iOS 26 該怎么辦？

蘋(píng)果同時(shí)表示，開(kāi)啟鎖定模式（Lockdown Mode）的設(shè)備也可抵御此類特定攻擊。

鎖定模式是蘋(píng)果在 iOS 16 中首次推出的一項(xiàng)可選增強(qiáng)安全功能。

雖然鎖定模式并非完美無(wú)缺，但截至目前，尚無(wú)公開(kāi)證據(jù)表明黑客能夠繞過(guò)其防護(hù)機(jī)制。（我們已就這一說(shuō)法向蘋(píng)果求證，若收到回復(fù)將更新內(nèi)容。）

有案例顯示，鎖定模式曾成功阻止至少一起試圖在人權(quán)活動(dòng)人士手機(jī)上安裝間諜軟件的攻擊。