網絡安全｜Google聯手Lookout 揭「DarkSword」國家級iOS間諜攻擊 估有最多2.7億部iPhone未修補風險

網絡安全公司 Lookout、行動安全公司 iVerify 及 Google 旗下威脅情報團隊近日發表聯合分析報告，指一套被命名為「DarkSword」的惡意攻擊鏈，已被多個商業監控供應商及疑似與國家有關聯的黑客用於實戰，鎖定沙特阿拉伯、土耳其、馬來西亞及烏克蘭等多地 iPhone 用戶。

研究人員指出，「DarkSword」屬完整的 iOS 利用鏈，可在用戶無需點擊任何連結的情況下，直接通過瀏覽器載入受感染網頁完成攻擊，俗稱「零點擊」攻擊。一旦中招，工具能在極短時間內靜默提取裝置內的敏感資料，涵蓋密碼、照片、iMessage、WhatsApp、Telegram 等聊天紀錄，甚至蘋果健康（Apple Health）數據及加密貨幣錢包憑證，對個人隱私與資產安全構成重大威脅。

與傳統需安裝惡意 App 的間諜軟件不同，「DarkSword」採用「無文件」（fileless）惡意技術，直接劫持 iOS 合法系統進程，在幾分鐘內完成資料外洩後自我清除，幾乎不留痕跡，重啟手機雖可移除惡意程式，但被竊數據已無法挽回。研究人員指出，近期在烏克蘭數十個網站（包括至少一個政府域名）被發現植入相關攻擊程式碼，顯示攻擊者透過「釣魚水窪」（watering hole）手法，等待目標自動「踏入陷阱」。

資安社群強調，這已是本月第二次發現針對 iPhone 及其他蘋果設備的大型間諜軟件行動。本月初，Google 與 iVerify 曾披露另一套名為「Coruna」的強力 iOS 利用工具包，能透過 23 個漏洞、5 條完整 exploit chain 入侵 iOS 13 至 17.2.1 的舊版系統，最初疑由國家級團隊開發，後逐步流入更廣泛的黑客及犯罪組織手中。Google 在追蹤「Coruna」基礎設施時，發現同一批基建上亦托管「DarkSword」，從而揭開後者的攻擊行動。Lookout 指出，「DarkSword」主要針對運行 iOS 18.4 至 18.6.2 版本的 iPhone。

基於公開市場數據估算，iVerify 及 Lookout 估計目前仍有約 2.2 億至 2.7 億部 iPhone 運行存在安全隱患的舊版 iOS，理論上仍可能受到「DarkSword」攻擊鏈影響。蘋果表示，攻擊者利用的多個漏洞集中在已過時的系統版本，對於運行最新 iOS 版本的用戶而言，有關底層弱點已在過去數年的多次安全更新中獲得修補。