Darksword間諜軟體攻擊iPhone 2 2億設備面臨資料外洩風險

資安研究團隊近日揭露，名為Darksword的高階iPhone間諜軟體透過烏克蘭數十個網站植入，恐導致全球2.2億至2.7億使用iOS 18.4至18.6.2版本的蘋果裝置面臨資料外洩風險。此漏洞於2025年3月至8月間發布的iOS版本中存在，攻擊者利用用戶瀏覽受感染網站時自動植入惡意程式，竊取個資與加密貨幣錢包資訊。研究由Lookout、iVerify及Google同步發布，顯示本月已連續發生第二起針對Apple裝置的高階間諜工具事件，凸顯惡意軟體市場正從國家級情蒐快速轉向商業犯罪用途。蘋果已透過近年更新修補漏洞，但未更新裝置仍處於高危狀態，Google更指出相關惡意網域已被Safari安全瀏覽機制全面封鎖。

技術漏洞與攻擊範圍深度解析

Darksword專攻iOS 18.4至18.6.2版本，此系列更新涵蓋iPhone 13至15全系型號，佔全球iPhone用戶約16%。攻擊手法極其精準：當用戶點擊烏克蘭境內被植入惡意程式網站時，Darksword會透過WebKit渲染引擎漏洞自動下載後門程式，無需用戶點擊即可完成感染。資安公司iVerify分析指出，該漏洞利用了iOS系統中「安全沙箱」機制的間隙，使惡意程式能在不觸發系統警告的情況下竊取通訊紀錄、定位資料及加密貨幣錢包私鑰。研究數據顯示，全球約14億iPhone用戶中，未更新至iOS 19.0以上的裝置達2.2億至2.7億台，主要集中在亞洲發展中國家與東歐地區，因網路基礎建設落後導致系統更新滯後。更值得警惕的是，此漏洞與本月曝光的Coruna間諜軟體共用同一伺服器，顯示犯罪集團已建立成熟供應鏈，能快速複製漏洞利用工具，將國家級情蒐技術商品化。資安專家指出，類似手法在2023年Pegasus事件中曾見，但Darksword針對金融資料的設計，反映犯罪集團正轉向高利潤目標，而非傳統政治監控。

惡意軟體產業鏈與犯罪集團動向

Darksword的橫行凸顯全球資安威脅的產業化轉型。Google研究報告揭露，該軟體與Coruna共享伺服器架構，顯示「商業監控供應商」與「國家背景駭客」已形成明確分工鏈：開發者提供漏洞工具，犯罪集團則透過沙烏地阿拉伯、土耳其等地的中介商進行分發。土耳其商業監控公司PARS Defense被指涉馬來西亞與土耳其的攻擊活動，但該公司拒絕回應。資安公司Lookout進一步分析，犯罪集團正利用烏克蘭局勢作為掩護，透過「假新聞網站」或「慈善組織」網站植入惡意程式，因戰爭期間用戶對烏克蘭相關內容信任度高。更令人憂心的是，iVerify共同創辦人Rocky Cole指出，本次攻擊操作中出現「粗糙失誤」，如錯誤的DNS設定導致工具暴露，此現象在過去國家級攻擊中極為罕見，顯示犯罪集團已降低對工具曝光的顧忌，加速擴張市場。市場數據顯示，2024年商業監控軟體需求成長37%，尤其在金融犯罪領域，犯罪集團正以每季更新的模式升級工具，使防禦成本大幅攀升。這也反映資安產業的挑戰：傳統防護技術已難應對快速迭代的商業化威脅。

蘋果防護策略與用戶實務建議

蘋果公司回應稱，相關漏洞已在2023至2024年間透過多次系統更新修補，受影響裝置主要為未及時更新的舊版iOS用戶。發言人強調，維持「自動更新」功能是保護裝置的關鍵，並指出Google辨識出的惡意網域已全數被Safari的Apple Safe Browsing機制封鎖，該機制透過全球實時威脅資料庫，每分鐘更新超過10萬個惡意網域名單。資安專家建議用戶立即執行三項行動：首先，至「設定>一般>軟體更新」檢查版本，若非iOS 19.0以上，應啟用「自動下載安裝」；其次，啟用「隱私功能」中的「隱私權指示器」，當應用程式存取相機或麥克風時會顯示小圖示；最後，避免點擊不明連結，特別是烏克蘭相關網站的短網址。蘋果更於2025年3月推出「安全更新通知」功能，用戶將收到漏洞修補的即時提醒。然而，資安研究指出，僅依賴蘋果更新仍不夠，用戶需搭配第三方工具如「Malwarebytes」進行深度掃描。此外，加密貨幣用戶應啟用「離線錢包」存儲，並定期更換錢包私鑰，因Darksword能直接竊取錢包資料。蘋果已承諾2025年Q4推出「漏洞預警系統」，透過AI分析用戶行為模式提前阻斷攻擊，但專家警告，犯罪集團的工具迭代速度已超越企業修補週期，用戶自主防護意識成為關鍵防線。