路透18日報導,研究人員發現,一款可滲透並竊取資料的高階iPhone漏洞工具,近期被植入烏克蘭數十個網站,該工具可滲透並竊取潛在數億部蘋果(Apple)iPhone中的資訊。估約2.2億至2.7億支仍使用舊版iOS的iPhone暴露於風險中。過去僅限政府與情報機構掌握的此類攻擊工具,如今已流入網路犯罪集團手中,使攻擊門檻大幅降低,受害範圍同步擴大。
這項發現是本月內第二起發現針對iPhone及其他蘋果裝置漏洞的間諜軟體。研究人員指出,這兩款駭客工具顯示,一個能竊取資料與加密貨幣錢包資訊的高階惡意軟體市場正在蓬勃發展。
資安公司Lookout、行動安全公司iVerify,以及Alphabet旗下Google同步發布分析報告,將這款惡意軟體命名為「DarkSword」。3月3日,Google與iVerify曾揭露另一款名為「Coruna」的強大iPhone間諜軟體,研究人員發現「DarkSword」與其架設在相同伺服器上。
Lookout首席研究員阿爾布雷希特(Justin Albrecht)表示:「目前已出現一條經驗證的漏洞利用管道……這些工具最終可能流入以牟利為目的的犯罪組織手中。」
Google指出,研究人員觀察到多個商業供應商與疑似具國家背景的駭客,在沙烏地阿拉伯、土耳其、馬來西亞與烏克蘭等地,分別使用「DarkSword」展開攻擊行動。
Google表示,馬來西亞與土耳其的攻擊行動與土耳其商業監控公司PARS Defense有關,但該公司未回應置評請求。
根據iVerify與Lookout說法,研究人員發現,使用iOS18.4至18.6.2版本的iPhone用戶,只要造訪數十個烏克蘭網站之一,就可能遭植入該惡意程式。這些iOS版本由蘋果在2025年3月至8月間發布。
美國網路媒體Axios報導,根據iVerify說法,一旦感染裝置,「DarkSword」幾乎可竊取所有資料,包括iMessage、WhatsApp與Telegram訊息、定位資訊、聯絡人、通話紀錄、WiFi設定、瀏覽紀錄與Cookies。
研究人員指出,目前尚不清楚有多少iPhone仍暴露在「DarkSword」攻擊風險之中。蘋果已針對相關漏洞發布多次修補更新,但由於許多用戶未即時更新系統,估計仍有約2.2億至2.7億部iPhone使用存在漏洞的iOS版本。這一數據由iVerify與Lookout根據公開資料推算,Google未在報告發布前提供相關數據。
蘋果發言人表示,這些漏洞主要針對「未更新的舊版軟體」,相關弱點已在過去數年的多次更新中修補。發言人指出:「維持軟體更新,仍是用戶確保蘋果裝置高安全性的最重要措施。」此外,發言人補充道,Google識別出的所有惡意網域均已被Safari瀏覽器的「Apple安全瀏覽」功能封鎖,以防止進一步攻擊。
根據iVerify說法,蘋果用於防範間諜軟體的「封閉模式」(Lockdown Mode),只能防止「DarkSword」攻擊的一部分,但能完全阻擋「Coruna」,因為該工具在啟用封閉模式時會停止運作。
iVerify共同創辦人兼營運長科爾(Rocky Cole)表示,本月出現兩款強大的iOS漏洞工具,顯示過去主要掌握在國家級情報機構手中的技術,已形成一個成熟的市場生態。
研究人員指出,他們之所以能發現這些漏洞,是因為攻擊方在安全操作上出現鬆散失誤,而這在具國家背景的iPhone駭客行動中並不常見。
科爾表示:「他們根本不在乎這些工具是否曝光,甚至在作業安全極為鬆散的情況下就大規模使用,這顯示他們對這類工具的價值評估其實不高,也不在意被外界發現。」
iVerify與Lookout在報告與訪談中指出,「DarkSword」所使用的網路伺服器,也曾被疑似俄羅斯操作者用來架設「Coruna」。
儘管目前沒有萬無一失的方法可防範這類水坑攻擊,阿爾布雷希特建議,用戶應維持裝置更新、啟用封閉模式,並使用第三方行動安全工具。
他表示:「這些都是有用的防護措施,但不幸的是,作為一般用戶,你幾乎無法偵測自己是否已遭入侵。」
