苹果警告旧版 iOS 遭受网络攻击:Coruna 和 DarkSword 漏洞利用
苹果正在向运行 iOS 13、14 和 17 以及 iPadOS 的设备所有者发送关键通知。来自“设置”应用的提示消息警告用户正在遭受使用 Coruna 和 DarkSword 漏洞利用的攻击。这些漏洞链针对 iOS 13 至 17.2.1 版本中的漏洞,可通过恶意链接或网站实现远程访问。
攻击机制和影响范围
通知以“关键软件”警报形式出现在锁屏界面上。苹果已确认针对 iOS 17.0 及更早版本的攻击。受影响设备是那些尚未安装 3 月 11 日补丁的设备:iOS 15.8.7、iOS 16.7.15 以及对应的 iPadOS 版本。
Coruna 和 DarkSword 漏洞利用只需极少交互即可触发:
- 点击恶意链接。
- 访问受损网站。
这会导致设备被攻破、数据被窃取,并可能实现持久访问。
对于 iOS 13/14,需要先更新至 iOS 15,然后再应用补丁。已安装最新更新的 iOS 15–17 版本默认受保护。
防护建议
苹果推荐以下步骤来降低风险:
- 更新系统:通过“设置” > “通用” > “软件更新”安装 iOS 15.8.7+ 或 iOS 16.7.15+。
- 锁定模式:在“设置” > “隐私与安全性” > “锁定模式”(iOS 16+ 可用)中启用。它会限制功能以缩小攻击面。
- 避免可疑链接:不要在 Safari 或 iMessage 中打开未知 URL。
- 监控通知:检查锁屏界面上的系统警报。
| iOS/iPadOS 版本 | 3 月 11 日补丁后状态 | 所需操作 |
|-------------------|-----------------------------|---------------------|
| 13–14.x | 易受攻击 | 更新至 15,然后补丁 |
| 15.x(至 15.8.7) | 易受攻击 | 安装 15.8.7+ |
| 16.x(至 16.7.15)| 易受攻击 | 安装 16.7.15+|
| 17.0–17.2.1 | 易受攻击 | 更新至 17.2.2+|
| 15–17(最新) | 已保护 | 保持更新最新 |
漏洞利用的技术细节
Coruna 和 DarkSword 是针对 WebKit 和内核漏洞的零点击或一点击漏洞链。它们绕过 Safari 的沙箱机制,将权限提升至 root。分析显示使用了 JavaScriptCore 和 IOKit 驱动中的 CVE。
开发者应考虑:
- 在易受攻击的 iOS 版本上测试 WebView。
- 在应用中隔离网络请求。
- 记录可疑的 JS 执行。
锁定模式会禁用 WebKit 中的 JIT,阻止消息附件,并限制点对点连接,从而中和了许多攻击向量。
要点
- 活跃漏洞利用:Coruna 和 DarkSword 正在 iOS 13–17.2.1 上活跃;3 月 11 日更新修复了这些零日漏洞。
- 影响广泛:所有易受攻击设备都会收到通知;iOS 13/14 需要分步更新。
- 锁定模式作为备选:对针对性攻击有效,但会降低可用性。
- 主动警报:苹果实时监控威胁情报。
- 最新版本已保护:iOS 15–17 已打补丁;重点关注旧设备。
中高级开发者:将 WKWebView 与内容屏蔽器集成,监控 ATS 日志中的异常。对于企业环境,强制执行 MDM 以要求更新和启用锁定模式。
— Editorial Team
暂无评论。