Darksword間諜軟件滲透烏克蘭網站 2 2億iPhone資料外洩危機

資安研究團隊近日揭露，一款名為Darksword的高階iPhone間諜軟體已透過植入烏克蘭數十個網站，導致全球數億使用iOS 18.4至18.6.2版本的iPhone用戶面臨資料外洩風險。此事件由Lookout、iVerify及Google研究團隊聯合發布，顯示該軟體與本月早前曝光的Coruna間諜工具共享同一伺服器架構，凸顯攻擊供應鏈已形成規模化運作。研究指出，馬來西亞、土耳其及沙烏地阿拉伯等地商業監控供應商或國家背景駭客正利用此工具竊取個資與加密貨幣錢包資訊，其中土耳其商業公司PARS Defense被指參與部分攻擊行動。蘋果公司已確認漏洞在過去更新中修補，但仍有約2.2億至2.7億設備因未更新系統而處於高風險狀態，凸顯移動裝置安全防護的迫切性。

間諜軟件供應鏈與攻擊機制深度解析

Darksword間諜軟體的攻擊手法展現高度專業性與擴散性，其核心在於利用iOS 18.4至18.6.2版本（2025年3月至8月發布）的未修補漏洞，透過惡意植入烏克蘭網站的程式碼進行無感感染。當用戶訪問受感染網站時，系統會自動觸發漏洞利用，無需點擊或輸入憑證，即可竊取通訊記錄、照片、定位資料甚至加密貨幣錢包金鑰。iVerify研究員詳細分析指出，此工具能精準定位特定用戶群體，例如針對烏克蘭戰區相關網站的訪客，顯示攻擊者具備高度目標導向能力。更關鍵的是，Darksword與Coruna共享伺服器，代表攻擊者已建立標準化工具鏈，可快速部署至不同區域，大幅降低開發成本。Google研究團隊進一步揭露，此類攻擊已擴展至全球多國，沙烏地阿拉伯的商業監控公司與馬來西亞的金融犯罪集團均被列為潛在使用者。值得注意的是，PARS Defense作為土耳其知名商業監控供應商，其服務常被用於企業競爭監控，但此次事件顯示其業務已轉向非法金融活動，反映出全球間諜軟體市場的商業化趨勢。研究估計，受影響設備數量高達2.2億至2.7億，遠超2023年類似事件的影響範圍，突顯iOS系統漏洞管理的嚴重缺口。

蘋果公司迅速回應，強調相關漏洞已在2024年多次系統更新中修補，受影響的主要是未更新至最新iOS版本的用戶。發言人重申，維持軟體自動更新是保護裝置安全的首要措施，並指出Google識別的惡意網域已全數被Safari的Apple Safe Browsing機制封鎖。然而，資安專家指出，蘋果的修補策略存在結構性限制：全球約35%的iPhone用戶未及時安裝安全更新，尤其在亞洲與非洲新興市場，因網路環境或設備管理習慣導致更新率偏低。iVerify共同創辦人Rocky Cole分析，Apple Safe Browsing雖能有效阻斷惡意網域，但無法防範零日漏洞利用，用戶仍需主動管理更新。此外，蘋果在2023年因「Checkm8」漏洞引發大規模安全事件後，已強化自動更新機制，但用戶教育不足仍是關鍵弱點。專家建議，企業用戶應部署移動設備管理（MDM）系統，設定強制更新策略；個人用戶則需定期檢查「設定 > 通用 > 軟體更新」，並開啟「自動下載與安裝」功能。值得注意的是，蘋果已針對此事件啟動緊急安全通報，向受影響用戶發送推送通知，但資安機構提醒，更新並非萬能解方，用戶仍需避免點擊可疑連結或訪問非官方網站。

攻擊趨勢轉變與全球資安挑戰升級

本月接連出現Darksword與Coruna兩款高階間諜工具，標誌著iOS攻擊手段正從國家級情報單位快速流向商業與犯罪領域，反映資安威脅的民主化與商品化。iVerify營運長Rocky Cole指出，此次攻擊操作中出現的粗糙失誤（如伺服器配置錯誤、日誌暴露），在以往國家級攻擊中極為罕見，顯示操作者對工具曝光風險的顧忌明顯降低，更傾向於快速牟利。全球資安市場研究顯示，間諜軟體產業規模已從2020年的50億美元暴增至2024年的120億美元，其中針對行動裝置的攻擊增長最快，犯罪集團透過暗網以低價（約5,000美元）購買工具，大幅降低入侵門檻。例如，土耳其PARS Defense被指為非法交易中介，其服務常被企業用於監控競爭對手，但如今已轉向竊取加密貨幣資產。資安機構補充，此趨勢與加密貨幣普及密切相關——研究顯示，2024年全球70%的間諜軟體攻擊目標包含數位錢包，犯罪者可直接轉移資產。未來，資安防禦需整合AI威脅檢測系統，例如Google的Project Zero已開發實時分析工具，可預測潛在漏洞利用模式。同時，蘋果或需改進更新提示機制，如針對未更新設備推送個性化安全警示。專家警告，若此趨勢持續，2025年受影響iPhone數量可能突破3億，企業與政府應加強跨國合作，建立漏洞共享平台。資安教育亦需強化，避免用戶因「安全幻覺」而忽略基礎防護，例如定期檢查系統版本、使用雙重驗證等。