蘋果3月剛堵的漏洞，GitHub上48小時就被"開源"了

「這就像有人把撬鎖工具發到了業主群里，還附贈視頻教程?！筰Verify聯合創始人Matthias Frielingsdorf的原話。

上周Google威脅情報組剛曝光的兩個iOS漏洞利用工具，其中一個已經完整出現在GitHub上。攻擊者不需要懂iOS開發，復制粘貼幾行代碼就能搭好攻擊服務器。蘋果3月11日緊急推送的補丁，正在以肉眼可見的速度失效。

DarkSword是什么：一個"即插即用"的間諜工具包

Google、iVerify和Lookout三家安全機構近期接連披露了兩套漏洞利用鏈：Coruna和DarkSword。它們專門瞄準運行舊版iOS/iPadOS的設備，通過WebKit（網頁渲染引擎）等多個漏洞串聯，實現數據竊取或完全控制設備。

蘋果的反應不算慢。3月11日緊急發布了iOS 16.7.15、iOS 15.8.7等版本補丁，還專門發支持文檔強調：哪怕你的設備跑不動iOS 26，也得更新到能支持的最高版本。同時推薦高危用戶開啟"鎖定模式"（Lockdown Mode）作為額外防護。

但補丁發布一周后，劇情急轉直下。

TechCrunch發現，DarkSword的更新版本被完整上傳到了GitHub。Frielingsdorf確認，這套泄露版本與他團隊此前分析的樣本共用同一套基礎設施，只是文件略有不同。更麻煩的是：上傳的文件就是普通的HTML和JavaScript，任何人復制粘貼后，幾小時就能在自己的服務器上部署好攻擊環境。

Frielingsdorf的原話很直白：「這很糟糕。它們太容易被改作他用了。我認為這已經無法控制了。我們必須預料到犯罪分子和其他人會開始部署這個。漏洞利用開箱即用。不需要任何iOS專業知識。」

為什么舊iPhone用戶最危險

這套攻擊的陰險之處在于"向下兼容"的精準打擊。

DarkSword和Coruna專門鎖定無法升級到最新iOS版本的設備——通常是iPhone 8/X及更早機型，以及部分老舊iPad。這些用戶往往有兩個特征：一是對系統更新提示習慣性忽略，二是誤以為"反正跑不動新系統，更不更新無所謂"。

蘋果的補丁策略也暴露了尷尬現實。iOS 15.8.7和16.7.15這類"養老版本"更新，不會出現在大多數用戶的主屏幕提示里，需要手動進入設置才能找到。很多用戶甚至不知道自己的設備還能更新。

更微妙的是GitHub的角色。作為微軟旗下的代碼托管平臺，它成了漏洞武器化的加速器。TechCrunch聯系了蘋果和微軟，微軟暫未回應，蘋果的表態則強調"已知曉針對舊版系統的攻擊，并于3月11日發布了緊急更新"。

這種回應的潛臺詞是：我們已經修好了，用戶不更新不是我們的鍋。

攻擊面有多大：從"專業間諜"到"腳本小子"

泄露前的DarkSword，使用門檻已經不算高。泄露之后，門檻直接歸零。

Frielingsdorf提到的"開箱即用"不是夸張。攻擊者不需要理解漏洞原理，不需要編寫利用代碼，甚至不需要編譯環境——從GitHub下載，改幾行配置，上傳到自己的服務器，就能開始釣魚。

這意味著攻擊者的畫像正在快速擴大。原本只有具備一定資源的監控軟件廠商或國家級黑客才能使用的工具，現在任何有點好奇心的"腳本小子"（Script Kiddie，指使用現成工具但不懂原理的攻擊者）都能上手。

攻擊場景也很典型：構造一個惡意網頁，通過短信、郵件或社交媒體鏈接分發，用戶點擊后，WebKit漏洞觸發，設備悄無聲息被控制。整個過程不需要用戶安裝任何App，不需要輸入密碼，甚至不會彈出明顯的系統提示。

蘋果推薦的"鎖定模式"確實能緩解這類攻擊，但這個功能的設計初衷是保護極少數高危人群（記者、異見人士、外交官等），開啟后會大幅限制設備功能——iMessage附件被屏蔽、網頁JavaScript被限制、有線連接被禁止。普通用戶很難為了"可能存在的風險"接受這種體驗降級。

現在該做什么：一張給舊設備用戶的檢查清單

如果你或家人還在用iPhone X及更早機型，或者iPad Pro 2017款及更早設備，這幾件事優先級最高。

第一，立刻檢查系統更新。設置 → 通用 → 軟件更新，哪怕顯示"已是最新版本"也點進去確認。iOS 15系列設備的最高版本是15.8.7，iOS 16系列是16.7.15，這兩個版本號要記牢。

第二，審視自己的威脅模型。如果你只是普通用戶，開啟"鎖定模式"可能過度防御；但如果你處理敏感信息，或者屬于被針對性攻擊的高風險群體，去設置 → 隱私與安全性 → 鎖定模式里打開它。

第三，改變使用習慣。舊設備用戶尤其要避免點擊不明鏈接，哪怕來自"熟人"——社交工程攻擊往往從盜號開始。Safari的欺詐性網站警告保持開啟，不要為了方便而關閉。

第四，考慮硬件換代的時間表。iPhone 8/X這批設備已經停止功能更新，安全補丁的窗口期正在收窄。蘋果對舊設備的"有限支持"不會無限持續，下一次類似DarkSword的漏洞，可能不會有補丁可打。

Frielingsdorf的評估沒有留余地：「我認為這已經無法控制了?！巩敼艄ぞ咦兂蒅itHub上的公開倉庫，防御就變成了一場與擴散速度的賽跑。而舊設備用戶，往往是跑在最后的那群人。