重大駭客工具於網路外流，數百萬部 iPhone 面臨風險：你需要知道的一切

安全研究人員發現了一系列針對全球 Apple 用戶的網路攻擊。這些攻擊活動中使用的工具被命名為 Coruna 和 DarkSword，政府間諜和網路犯罪分子都曾使用這些工具從用戶的 iPhone 和 iPad 中竊取數據。

針對 iPhone 和 iPad 用戶的廣泛駭客攻擊非常罕見。在過去十年中，唯一的先例是針對中國維吾爾族穆斯林以及香港民眾的攻擊。

現在，其中一些強大的駭客工具已在網路上外洩，可能導致數億部執行過時軟體的 iPhone 和 iPad 面臨數據被竊的風險。

我們將詳細解析目前對於這些最新 iPhone 和 iPad 駭客威脅的已知與未知資訊，以及你可以採取哪些措施來保持受保護狀態。

什麼是 Coruna 和 DarkSword？

Coruna 和 DarkSword 是兩套先進的駭客工具包，各自包含一系列漏洞利用程式（exploits），能夠入侵 iPhone 和 iPad 並竊取個人數據，例如訊息、瀏覽器數據、位置記錄和加密貨幣。

發現這些工具包的安全研究人員表示，Coruna 的漏洞利用程式可以駭入執行 iOS 13 到 iOS 17.2.1（於 2023 年 12 月發布）的 iPhone 和 iPad。

然而，根據正在調查程式碼的 Google 安全研究人員指出，DarkSword 包含的漏洞利用程式能夠駭入執行較新系統（如 2025 年 9 月發布的 iOS 18.4 和 18.7）的 iPhone 和 iPad。

但 DarkSword 對一般大眾的威脅更為直接。有人外洩了 DarkSword 的部分內容並將其發布在程式碼共享網站 GitHub 上，這使得任何人都能輕鬆下載惡意程式碼，並針對執行舊版 iOS 的 Apple 用戶發動攻擊。

Coruna 和 DarkSword 如何運作？

這類攻擊就其定義而言是不分青紅皂白且危險的，因為它們可以誘捕任何訪問託管惡意程式碼之特定網站的人。

在某些情況下，受害者僅僅因為訪問了受惡意駭客控制的正當網站就可能被駭。

聯繫我們

當受害者最初受到感染時，Coruna 和 DarkSword 會利用 iOS 中的多個漏洞，讓駭客幾乎能完全控制目標裝置，從而竊取個人的私密數據。隨後，這些數據會被上傳到由駭客運行的網路伺服器。

這些駭客工具從何而來？

正如 TechCrunch 先前報導，Coruna 工具包的至少一部分最初是由 Trenchant 開發的。Trenchant 是美國國防承包商 L3Harris 旗下的駭客與間諜軟體部門，該部門向美國政府及其主要盟友出售漏洞利用程式。

卡巴斯基（Kaspersky）也將 Coruna 工具包中的兩個漏洞利用程式與「三角測量行動」（Operation Triangulation）聯繫起來，這是一場複雜且可能由政府主導的網路攻擊，據稱是針對俄羅斯 iPhone 用戶進行的。

在 Trenchant 開發出 Coruna 之後——目前尚不清楚具體過程——這些漏洞利用程式落入了俄羅斯間諜和中國網路犯罪分子的手中，這可能是透過一個或多個在地下市場出售漏洞利用程式的中間人實現的。

Coruna 的流轉再次表明，強大的駭客工具（包括那些在嚴格保密限制下為美國開發的工具）可能會外洩並失控擴散。

其中一個例子發生在 2017 年，當時由美國國家安全局（NSA）開發、能夠遠端入侵全球 Windows 電腦的一個漏洞利用程式在網路上外洩。隨後，該漏洞被用於具破壞性的 WannaCry 勒索軟體攻擊，不分青紅皂白地駭入了全球數十萬部電腦。

至於 DarkSword，研究人員已觀察到針對中國、馬來西亞、土耳其、沙烏地阿拉伯和烏克蘭用戶的攻擊。目前仍不清楚最初是誰開發了 DarkSword、它是如何落入不同駭客組織手中，以及這些工具是如何在網路上外洩的。

DarkSword 工具是如何在網路上外洩的？

目前尚不清楚是誰出於何種原因將其外洩並發布到 GitHub。

TechCrunch 看到的這些駭客工具是用網頁語言 HTML 和 JavaScript 編寫的，這使得任何想要發動惡意攻擊的人都能相對容易地在任何地方進行配置和自行託管。（TechCrunch 不會提供 GitHub 連結，因為這些工具可用於惡意攻擊。）在 X 平台上發文的研究人員已經透過駭入自己執行受影響版本軟體的 Apple 裝置，測試了外洩的工具。

正如行動安全公司 Lookout 的首席研究員 Justin Albrecht 向 TechCrunch 解釋的那樣，DarkSword 現在「基本上是即插即用」。

GitHub 告訴 TechCrunch，它尚未移除外洩的程式碼，但會將其保留用於安全研究。

GitHub 的線上安全顧問 Jesse Geraci 告訴 TechCrunch：「GitHub 的《可接受使用政策》禁止發布直接支持非法主動攻擊或造成技術損害的惡意軟體活動的內容。然而，我們並不禁止發布可用於開發惡意軟體或漏洞利用程式的原始碼，因為此類原始碼的發布和傳播具有教育價值，並能為安全社群帶來淨收益。」

我的 iPhone 或 iPad 容易受到 DarkSword 攻擊嗎？

如果你的 iPhone 或 iPad 尚未更新，你應該考慮立即更新。

Apple 告訴 TechCrunch，執行最新版本 iOS 15 到 iOS 26 的用戶已經受到保護。

根據 iVerify 的建議：「我們強烈建議更新到 iOS 18.7.6 或 iOS 26.3.1。這將緩解這些攻擊鏈中已被利用的所有漏洞。」

根據 Apple 自己的統計數據，將近三分之一的 iPhone 和 iPad 用戶仍未執行最新的 iOS 26 軟體。這意味著可能有數億部裝置容易受到這些駭客工具的攻擊，因為 Apple 宣稱全球有超過 25 億部活躍裝置。

如果我無法或不想升級到 iOS 26 怎麼辦？

Apple 還表示，執行「封鎖模式」（Lockdown Mode）的裝置也能阻擋這些特定的攻擊。封鎖模式是 iOS 16 中首次推出的可選額外安全功能。

封鎖模式對於記者、異議人士、人權活動家，以及任何認為自己可能因身份或工作而成為目標的人來說非常有幫助。

雖然封鎖模式並非完美，但目前尚無公開證據表明駭客曾成功繞過其保護。（我們詢問了 Apple 該說法是否依然成立，若有回覆將會更新。）封鎖模式曾被發現成功阻止了至少一次在人權捍衛者手機上植入間諜軟體的企圖。