蘋果3月剛堵的漏洞，GitHub上48小時就被"開源"了

「這就像有人把撬鎖工具發(fā)到了業(yè)主群里，還附贈視頻教程。」iVerify聯(lián)合創(chuàng)始人Matthias Frielingsdorf的原話。

上周Google威脅情報組剛曝光的兩個iOS漏洞利用工具，其中一個已經(jīng)完整出現(xiàn)在GitHub上。攻擊者不需要懂iOS開發(fā)，復制粘貼幾行代碼就能搭好攻擊服務器。蘋果3月11日緊急推送的補丁，正在以肉眼可見的速度失效。

DarkSword是什么：一個"即插即用"的間諜工具包

Google、iVerify和Lookout三家安全機構(gòu)近期接連披露了兩套漏洞利用鏈：Coruna和DarkSword。它們專門瞄準運行舊版iOS/iPadOS的設備，通過WebKit（網(wǎng)頁渲染引擎）等多個漏洞串聯(lián)，實現(xiàn)數(shù)據(jù)竊取或完全控制設備。

蘋果的反應不算慢。3月11日緊急發(fā)布了iOS 16.7.15、iOS 15.8.7等版本補丁，還專門發(fā)支持文檔強調(diào)：哪怕你的設備跑不動iOS 26，也得更新到能支持的最高版本。同時推薦高危用戶開啟"鎖定模式"（Lockdown Mode）作為額外防護。

但補丁發(fā)布一周后，劇情急轉(zhuǎn)直下。

TechCrunch發(fā)現(xiàn)，DarkSword的更新版本被完整上傳到了GitHub。Frielingsdorf確認，這套泄露版本與他團隊此前分析的樣本共用同一套基礎設施，只是文件略有不同。更麻煩的是：上傳的文件就是普通的HTML和JavaScript，任何人復制粘貼后，幾小時就能在自己的服務器上部署好攻擊環(huán)境。

Frielingsdorf的原話很直白：「這很糟糕。它們太容易被改作他用了。我認為這已經(jīng)無法控制了。我們必須預料到犯罪分子和其他人會開始部署這個。漏洞利用開箱即用。不需要任何iOS專業(yè)知識。」

為什么舊iPhone用戶最危險

這套攻擊的陰險之處在于"向下兼容"的精準打擊。

DarkSword和Coruna專門鎖定無法升級到最新iOS版本的設備——通常是iPhone 8/X及更早機型，以及部分老舊iPad。這些用戶往往有兩個特征：一是對系統(tǒng)更新提示習慣性忽略，二是誤以為"反正跑不動新系統(tǒng)，更不更新無所謂"。

蘋果的補丁策略也暴露了尷尬現(xiàn)實。iOS 15.8.7和16.7.15這類"養(yǎng)老版本"更新，不會出現(xiàn)在大多數(shù)用戶的主屏幕提示里，需要手動進入設置才能找到。很多用戶甚至不知道自己的設備還能更新。

更微妙的是GitHub的角色。作為微軟旗下的代碼托管平臺，它成了漏洞武器化的加速器。TechCrunch聯(lián)系了蘋果和微軟，微軟暫未回應，蘋果的表態(tài)則強調(diào)"已知曉針對舊版系統(tǒng)的攻擊，并于3月11日發(fā)布了緊急更新"。

這種回應的潛臺詞是：我們已經(jīng)修好了，用戶不更新不是我們的鍋。

攻擊面有多大：從"專業(yè)間諜"到"腳本小子"

泄露前的DarkSword，使用門檻已經(jīng)不算高。泄露之后，門檻直接歸零。

Frielingsdorf提到的"開箱即用"不是夸張。攻擊者不需要理解漏洞原理，不需要編寫利用代碼，甚至不需要編譯環(huán)境——從GitHub下載，改幾行配置，上傳到自己的服務器，就能開始釣魚。

這意味著攻擊者的畫像正在快速擴大。原本只有具備一定資源的監(jiān)控軟件廠商或國家級黑客才能使用的工具，現(xiàn)在任何有點好奇心的"腳本小子"（Script Kiddie，指使用現(xiàn)成工具但不懂原理的攻擊者）都能上手。

攻擊場景也很典型：構(gòu)造一個惡意網(wǎng)頁，通過短信、郵件或社交媒體鏈接分發(fā)，用戶點擊后，WebKit漏洞觸發(fā)，設備悄無聲息被控制。整個過程不需要用戶安裝任何App，不需要輸入密碼，甚至不會彈出明顯的系統(tǒng)提示。

蘋果推薦的"鎖定模式"確實能緩解這類攻擊，但這個功能的設計初衷是保護極少數(shù)高危人群（記者、異見人士、外交官等），開啟后會大幅限制設備功能——iMessage附件被屏蔽、網(wǎng)頁JavaScript被限制、有線連接被禁止。普通用戶很難為了"可能存在的風險"接受這種體驗降級。

現(xiàn)在該做什么：一張給舊設備用戶的檢查清單

如果你或家人還在用iPhone X及更早機型，或者iPad Pro 2017款及更早設備，這幾件事優(yōu)先級最高。

第一，立刻檢查系統(tǒng)更新。設置 → 通用 → 軟件更新，哪怕顯示"已是最新版本"也點進去確認。iOS 15系列設備的最高版本是15.8.7，iOS 16系列是16.7.15，這兩個版本號要記牢。

第二，審視自己的威脅模型。如果你只是普通用戶，開啟"鎖定模式"可能過度防御；但如果你處理敏感信息，或者屬于被針對性攻擊的高風險群體，去設置 → 隱私與安全性 → 鎖定模式里打開它。

第三，改變使用習慣。舊設備用戶尤其要避免點擊不明鏈接，哪怕來自"熟人"——社交工程攻擊往往從盜號開始。Safari的欺詐性網(wǎng)站警告保持開啟，不要為了方便而關閉。

第四，考慮硬件換代的時間表。iPhone 8/X這批設備已經(jīng)停止功能更新，安全補丁的窗口期正在收窄。蘋果對舊設備的"有限支持"不會無限持續(xù)，下一次類似DarkSword的漏洞，可能不會有補丁可打。

Frielingsdorf的評估沒有留余地：「我認為這已經(jīng)無法控制了。」當攻擊工具變成GitHub上的公開倉庫，防御就變成了一場與擴散速度的賽跑。而舊設備用戶，往往是跑在最后的那群人。