苹果旧设备面临新型漏洞攻击风险,DarkSword漏洞代码泄露至GitHub
谷歌威胁情报团队、iVerify及Lookout近期披露了针对旧版iPhone和iPad的两个漏洞利用工具Coruna和DarkSword,后者现已在GitHub上公开发布。该漏洞利用WebKit等系统级漏洞,可实现远程控制设备或窃取用户数据。
苹果已发布紧急更新(iOS 16.7.15、iOS 15.8.7、iPadOS 16.7.15、iPadOS 15.8.7)并建议用户启用Lockdown Mode以加强防护。iVerify联合创始人Matthias Frielingsdorf警告,该漏洞代码极易被复制和部署,无需iOS专业知识,攻击风险显着上升。
新版本DarkSword代码由TechCrunch发现,仅包含HTML和JavaScript,可被任何人快速部署至服务器,实现“开箱即用”的攻击能力。Frielingsdorf表示:“这很糟糕。它们太容易被重新利用。我认为这已经无法控制了。我们必须预期犯罪分子和其他人将开始部署这些工具。”
苹果公司回应称,已知悉该漏洞针对运行旧版操作系统的设备,并于3月11日发布紧急更新,覆盖无法升级至iOS 26或iPadOS 26的设备。微软(GitHub所有者)未立即回应相关询问。
专家建议,用户应尽快将设备升级至最新支持版本,或启用Lockdown Mode以降低被攻击风险。
编辑点评
此次DarkSword漏洞代码泄露事件凸显了软件安全生态中的重大漏洞治理挑战。尽管苹果已发布紧急补丁,但漏洞代码在GitHub上的公开传播意味着攻击门槛大幅降低,非专业黑客亦可快速部署,形成全球性网络攻击浪潮。该事件不仅影响苹果设备用户,更暴露了供应链安全与开源平台监管的双重短板。从国际安全角度看,此类漏洞可能被用于定向监控、商业间谍或大规模数据窃取,尤其对政府机构、企业高管及高价值个人构成威胁。未来,各国可能加强针对开源代码平台的监管,并推动更严格的设备生命周期安全标准,以应对日益复杂的零日漏洞利用趋势。