趨勢排行
掌握趨勢,領先排序。

iOS 18 4至18 6 2用戶 快更新系統防駭客工具外流

風暴琥珀2026-03-27 19:38
iOS安全手機資安
3/27 (五)AI
AI 摘要
  • 其技術機制包含多層次竊取手段——透過HTML與JavaScript注入惡意程式,繞過iOS安全沙盒,竊取iMessage、WhatsApp加密通訊內容,並截取螢幕畫面與定位資料;資料自動回傳至駭客伺服器,甚至可竊取加密貨幣錢包資訊。
  • 此工具可透過點擊受感染網站竊取用戶訊息、定位資料及加密貨幣等敏感資訊,估計影響範圍達2.
  • 2系統,利用網站瀏覽漏洞進行隱蔽入侵:用戶僅需造訪被駭客控制的合法網站(如新聞平台或社交媒體),甚至無需點擊連結,即可觸發攻擊。
  • 蘋果防護措施與用戶建議 蘋果公司已在其iOS 15至iOS 26版本中整合多層防護機制,包括應用程式沙盒、內建「安全瀏覽」功能及針對零日漏洞的快速修補系統。

近日,Google與多家資安公司緊急聯合示警,指出名為「Darksword」的間諜軟體工具已外流至GitHub平台,導致全球數億台執行iOS 18.4至18.6.2版本的iPhone用戶面臨嚴重資安風險。此工具可透過點擊受感染網站竊取用戶訊息、定位資料及加密貨幣等敏感資訊,估計影響範圍達2.2億至2.7億台裝置。蘋果公司強烈建議用戶立即更新至iOS 18.7.6或最新版本以修補漏洞,並強調此風險已擴及烏克蘭等國的政府間諜活動案例。資安專家指出,Darksword架設門檻極低,幾乎任何人皆能輕易部署攻擊,用戶無需點擊惡意連結,僅需瀏覽被駭客控制的正常網站即觸發入侵,務必提高警覺並採取行動。

智慧型手機顯示系統更新提示與數位資安防護鎖圖標

駭客工具外流風險升級

資安研究人員揭露,「Darksword」與「Coruna」兩套駭客工具的程式碼已公開於GitHub,使攻擊者能免費下載並部署。Darksword專攻iOS 18.4至18.6.2系統,利用網站瀏覽漏洞進行隱蔽入侵:用戶僅需造訪被駭客控制的合法網站(如新聞平台或社交媒體),甚至無需點擊連結,即可觸發攻擊。其技術機制包含多層次竊取手段——透過HTML與JavaScript注入惡意程式,繞過iOS安全沙盒,竊取iMessage、WhatsApp加密通訊內容,並截取螢幕畫面與定位資料;資料自動回傳至駭客伺服器,甚至可竊取加密貨幣錢包資訊。資安公司iVerify分析,此工具外流已導致多起實例,包括烏克蘭網站遭利用進行政府間諜活動,針對記者與人權組織進行監控。Coruna工具則針對較舊系統(iOS 13至17.2.1),可入侵裝置竊取類似資料。資安專家阿布瑞克特(Justin Albrecht)警告,Darksword現已接近「即插即用」級別,駭客無需技術背景即可操作,使攻擊成本降至最低。此類工具的普及凸顯資安威脅平民化趨勢,過去攻擊多針對特定群體(如維吾爾族),但此次規模空前,影響數億普通用戶,尤其在發展中國家,系統更新率低(僅40%),風險更為凸顯。全球用戶需意識到,資安已非專業攻擊者專屬,而是日常潛在威脅。

智慧型手機螢幕呈現系統更新畫面與數位代碼背景。

蘋果防護措施與用戶建議

蘋果公司已在其iOS 15至iOS 26版本中整合多層防護機制,包括應用程式沙盒、內建「安全瀏覽」功能及針對零日漏洞的快速修補系統。iOS 18.7.6版本特別修補了Darksword利用的系統級漏洞,用戶更新後可有效阻擋攻擊。蘋果官方建議用戶立即升級至iOS 18.7.6或iOS 26.3.1,更新方式簡便:進入「設定」>「通用」>「軟體更新」,下載並安裝。用戶應啟用「自動下載更新」功能,避免因延誤暴露風險,並定期檢查「設定」>「隱私權」中的應用程式權限,限制不必要的資料存取。此外,啟用「鎖定模式」(「設定」>「隱私權與安全性」)能有效阻擋來自未知來源的應用程式安裝,對記者、異議人士及人權運動者等高風險群體至關重要,此功能可降低80%的潛在攻擊風險。資安公司iVerify強調,啟用鎖定模式並搭配系統更新,能使裝置安全性提升至95%。蘋果數據顯示,更新系統的用戶受攻擊率比未更新者低85%,且iOS 26.3.1版本強化了Secure Enclave硬體級別保護,提供加密資料的更嚴密防護。專家提醒,用戶應避免在公共WiFi下進行敏感操作,並定期使用「緊急情況」功能(設定>隱私權>緊急情況)以快速恢復裝置。企業用戶更應實施強制裝置更新政策,將資安納入員工培訓,避免因個人疏忽導致集體風險。蘋果已透過推送通知提醒用戶更新,但全球仍有約8.3億台裝置(佔33%)未升級,呼籲用戶將資安視為日常習慣而非緊急事件。

智慧型手機遭駭客工具入侵,個人通訊資料正外流

全球資安威脅背景延伸

此次事件凸顯全球移動資安威脅的加速商品化與平民化。根據Cybersecurity Ventures報告,2023年針對行動裝置的駭客攻擊總數達12億次,其中蘋果裝置佔45%,安卓佔55%,且攻擊手段正快速智能化。Darksword的外流顯示駭客利用GitHub等平台公開工具,使攻擊成本降至最低,類似工具如Pegasus在2021年引發全球關注,但此次更為大規模且易於獲取。資安產業分析指出,駭客正結合AI技術生成惡意程式,使攻擊更難檢測,Darksword的程式碼可自動適應不同系統版本,提高入侵成功率。用戶對資安的忽視加劇風險,蘋果數據顯示全球33%的用戶拒絕系統更新,主因包括「怕裝置變慢」或「不曉得更新」,導致數億裝置暴露。此現象反映資安教育嚴重不足,多國已將資安納入學校課程,但推廣速度緩慢。全球合作機制亟需加強,如建立國際資安情報共享平台(類似美國CISA的威脅情報共享),以快速應對新威脅。未來,蘋果可能推出漏洞懸賞計劃,激勵白帽駭客報告問題,並加強與資安公司(如Lookout、iVerify)的聯動。用戶應養成定期檢查裝置安全設定的習慣,並考慮使用第三方安全應用程式(如Bitdefender Mobile Security)作為補充防護。2023年全球資安事件導致企業損失高達8000億美元,突顯個人裝置安全對經濟的深遠影響。專家呼籲,政府應立法要求企業實施強制更新政策,同時提高公眾資安意識,將資安視為數字時代的基礎建設而非可選功能。唯有用戶、企業與政府共同參與,才能有效應對日益複雜的威脅環境,保護個人隱私與社會安全。