iPhone大范围漏洞曝光：只刷网页，也会被入侵

iPhone用户注意：这两个漏洞工具包正在窃取你的数据

最近，不少 iPhone 用户突然收到苹果的安全警告

通知里反复提到两个名字：Coruna 和 DarkSword。

很多人第一反应是：这啥？病毒？App？还是新型号刀具？

先说结论—— 这不是普通漏洞，这是两套“现成可用”的攻击工具包。

攻击者只需要做一件事： 👉 让你打开一个被动过手脚的网页

接下来几秒内，你的 iPhone 可能会被完全接管：

• 照片
• 聊天记录
• 位置信息
• 甚至加密货币钱包

全都能被拿走

更离谱的是—— 你什么都不用点、什么都不用装。

而且麻烦的是，这种攻击从2025年11月就开始了，一直持续到最近才被公开披露（部分漏洞代码被外流至GitHub）

影响范围：不是小众问题

这次覆盖的范围，可以说是“基本全中”

• Coruna：iOS 13 → iOS 18.3
• DarkSword：iOS 18.4 → iOS 18.7

换句话说： 几乎所有近几年还在用的 iPhone，都在射程内

业内估算，大约 2.2 亿台设备在影响范围里。

你的设备可能在受影响列表里，而自己完全不知道。

攻击方式：真正的“无感入侵”

以前说到中毒，大家的印象是：

• 下载了奇怪 App
• 点了钓鱼链接
• 给了不该给的权限

但这次完全不是这个套路。

Coruna 和 DarkSword 的攻击完全基于JavaScript实现，是一种经典但很阴的方式：

水坑攻击（Watering Hole）

大概的攻击流程：

1. 攻击者先入侵一些正常网站
2. 在这些网站里植入隐藏的恶意代码
3. 用户用Safari访问这些网站时，代码自动执行
4. 几秒钟内完成设备入侵，全程没有任何提示

整个过程：

• ❌ 不需要点击
• ❌ 不需要下载
• ❌ 不需要授权

你只是刷个网页，手机就已经“被摸了一遍”。

更骚的是—— 攻击完成后，代码会自动清理并消失。

👉 不留 App、不留文件、不留明显痕迹 👉 属于典型的“打一枪就跑”

这也是为什么这类攻击极难取证。

谁在用这些工具？

目前已经确认，至少有三拨人使用这些工具包：

1）UNC6353（疑似俄罗斯背景） 主要针对乌克兰用户，通过本地网站投毒传播。代码里甚至发现了俄语注释。

2）PARS Defense（商业监控公司） 这家公司在土耳其和马来西亚发起攻击，为购买其监控服务的客户提供技术支持。 本质上就是——把监控能力当产品卖。

3）UNC6748（攻击集群） 搞了一个假的 Snapchat 登录站点，专门钓沙特用户。

重点不在是谁，而在一个更危险的趋势：

这些能力，正在“下沉”

原本属于国家级黑客的漏洞利用链， 现在已经流入商业公司，甚至黑产市场。

这意味着原本只有国家级黑客才能使用的攻击能力，现在可能被更多组织获得，这才是最值得警惕的地方。

一旦中招，会丢什么？

这不是“偷点信息”，而是全盘读取。

能拿走的包括：

• iMessage / Telegram / WhatsApp 聊天记录
• 照片、视频
• 位置信息
• Safari 浏览记录 + Cookie
• 钥匙串（已保存密码）
• 加密货币钱包
• 健康数据
• Wi-Fi 密码
• 麦克风录音
• 已安装 App 列表

其中 DarkSword 明显盯上了加密货币，目标很直接：💰 而 Coruna 更偏“情报收集型”。

技术细节：六个漏洞串联攻击

DarkSword利用六个不同的漏洞实现完整攻击链：

攻击者 用 JavaScript 打穿整个 iOS

DarkSword 把 6 个漏洞串成一条完整攻击链，从浏览器一路打到系统内核。

关键点有两个：

1）从网页开始（JavaScript 引擎） 你打开网页那一刻就已经触发

2）一路提权到内核级别 最后可以执行任意代码（= 完全控制设备）

最特别的是—— 整个攻击几乎都是用 JavaScript 写的

不需要传统的二进制程序， 不像传统意义上的“病毒程序”， 更像一段“会爬权限的脚本”。

苹果如何应对

苹果已经在多个版本中修复了这些漏洞：

• iOS 18.6：修复CVE-2025-31277
• iOS 18.7.2 / 26.1：修复CVE-2025-43510、CVE-2025-43520
• iOS 18.7.3 / 26.2：修复CVE-2025-43529、CVE-2025-14174
• iOS 26.3：修复CVE-2026-20700

直到最近，这条攻击链才算被完整封死。

另外在 2026 年 3 月 27 日， 苹果还做了一件很少见的事：

👉 直接在锁屏推送安全警告

说明这事的严重程度，已经不是普通漏洞级别了。

谷歌也已将所有已识别的传播域名添加到安全浏览列表中，Safari会拦截这些网站。

现在你该做什么（重点）

别研究攻击链了，普通人就做三件事：

第一步：检查系统版本

打开设置 → 通用 → 关于本机，查看软件版本。

如果版本号是以下之一，说明已经安全：

• iOS 18.7.6或更高
• iOS 26.3.1或更高

第二步：如果系统版本较旧，立即升级

设置 → 通用 → 软件更新，下载并安装最新版本。

即使设备较旧（如iPhone X或更早机型）， 苹果也提供了专门的安全补丁（iOS 15.8.7或16.7.15），请务必安装。

第三步：如果设备太旧无法升级

如果你的 iPhone 已经升不上去了

这种情况下，建议开启 "锁定模式" ：

设置 → 隐私与安全性 → 锁定模式

锁定模式会限制某些功能，但能显著提高安全性，防止这类漏洞利用。

第四步：近期注意可疑网站

漏洞刚曝光这段时间，是模仿攻击高发期。

建议：

• 少点陌生链接（如红包链接）
• 尤其是短信 / 邮件里的
• 不明网站先别碰

写在最后

很多人一直觉得：

“iPhone 很安全，不用太操心”

这话不算错，但也不完全对。

这次事件说明了一件事：

不是系统不安全，而是攻击已经进化了

更关键的是—— 这些原本“国家级”的攻击能力，正在被越来越多人拿到。

对普通人来说：

系统更新 ≠ 可选项，而是安全补丁

你拖的不是更新，是风险。

参考来源：

• Google Threat Intelligence Group分析报告
• iVerify技术博客
• Lookout移动安全研究
• FreeBuf安全资讯

封面由AI生成