苹果iOS 26安全措施升级，但泄露的黑客工具仍使数百万用户面临间谍软件威胁

过去，iPhone安全专家普遍认为，发现iOS漏洞并开发利用工具难度大，需大量时间、资源和专业团队，因此iPhone间谍软件及零日漏洞（软件厂商未察觉即被利用的漏洞）较为罕见，且仅用于有限的针对性攻击。然而，近一个月，谷歌、iVerify和Lookout的网络安全研究人员记录了多起大规模黑客攻击活动，攻击者使用名为Coruna和DarkSword的工具，近乎无差别地针对全球尚未运行苹果最新软件的用户。部分攻击者包括俄罗斯间谍和中国网络犯罪分子，他们通过被黑客入侵的网站或虚假页面进行攻击，可能窃取大量受害者的手机数据。如今，这些工具已在网上泄露，任何人都可获取代码，轻易对运行旧版本iOS的苹果用户发起攻击。苹果投入大量资源开发新的安全和开发技术，例如为最新iPhone机型引入内存安全代码，并推出“锁定模式”等功能以应对潜在的间谍软件攻击，旨在提升现代iPhone的安全性，强化其“难以被黑客攻击”的主张。但仍有大量旧款、未更新的iPhone，成为间谍软件操控者和网络犯罪分子的易攻击目标。目前iPhone用户实质上分为两类安全群体：使用2025年发布的最新iPhone 17机型并运行最新iOS 26的用户，拥有名为“内存完整性强制”的新安全功能，该功能旨在阻止内存损坏漏洞（间谍软件和手机解锁攻击中最常被利用的缺陷之一，据谷歌称DarkSword严重依赖此类漏洞）；而仍运行苹果移动软件旧版本（如iOS 18或更早版本）的iPhone用户，过去一直易受基于内存的黑客攻击和其他漏洞利用。Coruna和DarkSword的发现表明，基于内存的攻击可能继续困扰使用旧款iPhone和iPad且未更新至更新、更内存安全机型的用户。iVerify和Lookout（两家在移动设备安全产品销售方面有商业利益的网络安全公司）的专家表示，Coruna和DarkSword可能也对“iPhone黑客攻击罕见”这一长期假设构成挑战。iVerify联合创始人Matthias Frielingsdorf向TechCrunch表示，移动攻击现在“广泛存在”，但针对最新软件的零日攻击“收费始终很高”，这意味着不会被大规模用于攻击用户。苹果安全专家Patrick Wardle指出，问题之一在于人们仅因iPhone攻击很少被记录就称其罕见或复杂，而实际情况可能是这些攻击确实存在但未被发现。他还比喻称，将其称为“高度先进”有点像称坦克或导弹先进，虽然属实，但忽略了关键一点：这只是该级别攻击的基本能力，大多数国家都拥有（或能以合适价格获取）。Lookout首席研究员Justin Albrecht则强调，Coruna和DarkSword凸显出一个明显繁荣的“二手”漏洞市场，这为漏洞开发者和个体经纪人创造了经济激励，“本质上可以为同一个漏洞获得两次报酬”，尤其是当初始漏洞被修复后，经纪人在用户普遍更新前转售漏洞是合理的，并表示“这不是一次性事件，而是未来趋势的征兆”。