工信部发布红色预警：iOS WebKit致命漏洞遭境外组织实战利用，全球苹果用户必须立即更新

攻击者仅需一个恶意网页即可完全控制设备国内超4.2万台iPhone已确认沦陷紧急概况2026年4月3日工业和信息化部网络安全威胁和漏洞信息共享平台NVDB发布最高级别红色预警境外黑客组织正利用苹果iOS系统高危漏洞对国内苹果终端用户发起大规模网络攻击。仅需诱导用户点击恶意链接即可在无任何交互的情况下实现远程代码执行完全控制设备。据苹果官方披露此次曝光的漏洞主要涉及Coruna和DarkSword两大WebKit零日漏洞利用工具包针对iOS 13.0至iOS 17.2.1版本覆盖近7年内的绝大部分iPhone和iPad机型。国内受影响设备超3.2亿台截至2026年4月初已有超4.2万台设备确认被入侵。苹果已连续发布紧急安全更新强烈建议所有用户立即升级至iOS 26.4.1/iPadOS 26.4.1。一、事件时间线从漏洞曝光到全面爆发2025年11月DarkSword漏洞利用工具包开始在野被使用主要针对中东和东欧地区目标。2026年3月初Google GTIG、iVerify和Lookout联合披露Coruna——一个包含5条完整iOS exploit链、共23个漏洞的高端攻击武器。2026年3月18日DarkSword漏洞利用工具包被正式披露采用全JavaScript实现串联6个漏洞含4个零日漏洞。2026年3月23日DarkSword部分代码被匿名上传至GitHub公开仓库使其成为“即插即用”的攻击工具。2026年4月3日工信部NVDB发布最高级别红色预警确认境外黑客正在利用该漏洞实施大规模攻击。2026年4月9日苹果发布iOS 26.4.1和iPadOS 26.4.1紧急安全更新重点修复了相关WebKit漏洞并强化了系统安全机制。二、漏洞深度解析为什么这次如此致命2.1 Coruna23个漏洞的“连环攻击”Coruna是一款针对iOS 13.0至17.2.1的高端漏洞利用工具包包含5条完整的exploit链、共计23个漏洞。攻击链从WebKit远程代码执行开始依次实现指针认证PAC绕过、沙箱逃逸、内核权限提升最终注入后门实现完整设备接管。早期版本与2023年国外安全厂商披露的“Operation Triangulation”攻击行动有代码复用迹象。2.2 DarkSword纯JavaScript的“打完就跑”DarkSword是Coruna的进化版由纯JavaScript实现无PPL/SPTM依赖针对更新的iOS 18.4至18.7版本。其串联的6个漏洞包括漏洞编号组件CVSS评分说明CVE-2025-31277JavaScriptCore内存破坏8.8浏览器RCE入口CVE-2025-43529JavaScriptCore内存破坏8.8零日漏洞用于新版系统CVE-2025-14174ANGLE内存破坏8.8从Safari跳转到GPUCVE-2025-43510iOS内核问题8.6内核信息泄露CVE-2025-43520iOS内核内存破坏8.6内核权限提升CVE-2026-20700dyld PAC绕过8.6零日漏洞完成全链控制攻击者通过该漏洞链可获取近乎完整的设备控制权包括读取钥匙串密码、iCloud数据、短信、通讯录、Wi-Fi记录、浏览器历史、位置轨迹以及Coinbase、Binance等主流加密货币钱包数据。DarkSword采用“hit-and-run”设计快速窃取数据后清除痕迹通常在数秒至数分钟内完成攻击用户几乎毫无察觉。2.3 同源策略失守CVE-2026-20643的本质是WebKit渲染引擎中Navigation API跨源验证缺陷允许恶意网页绕过同源策略Same-Origin Policy——该策略本是浏览器安全的核心防线确保一个网站的脚本无法访问另一个网站的数据。一旦被绕过攻击者即可跨域读取用户在其他网站登录凭证、Cookie及敏感数据。2.4 “零点击”无需用户交互黑客通过短信、微信、抖音等平台发送恶意链接或入侵正规网站实施“水坑攻击”。用户仅需打开链接——甚至仅预览消息中的链接缩略图——攻击代码即可触发。整个入侵过程完全静默无弹窗、无卡顿、无任何异常提示。三、攻击组织画像从国家级APT到犯罪团伙3.1 源头国家级APT组织Coruna和DarkSword最初由商业间谍软件公司和国家级APT组织使用具备国家级工程水准。UNC6353疑似俄罗斯背景组织2025年底利用DarkSword攻击乌克兰目标通过入侵正规网站植入恶意iframe实施水坑攻击。TA446俄APT组织亦称COLDRIVER/Star Blizzard利用DarkSword伪造大西洋理事会会议邀请邮件实施定向鱼叉式钓鱼攻击窃取iCloud凭证、钥匙串等敏感数据并部署GHOSTBLADE数据挖掘木马与MAYBEROBOT后门。TA446与俄罗斯联邦安全局FSB存在关联长期重点针对政治人士、政府机构、智库及金融法律实体。PARS Defense土耳其商业监控厂商针对土耳其/马来西亚用户使用DarkSword。UNC6748针对沙特用户使用DarkSword。3.2 2026年3月公开泄密2026年3月23日DarkSword部分代码被匿名上传至GitHub公开仓库。任何具备基本技术能力的人均可自行部署“即插即用”。泄露后低阶犯罪团伙如TA446开始快速复用甚至出现随机网民实验案例。这一事件与2017年“永恒之蓝”EternalBlue漏洞泄露具有高度相似性——当年NSA武器库泄露导致WannaCry勒索病毒席卷全球感染数十万台设备。如今同样的剧本正在iOS生态中重演。3.3 已确认的攻击目标DarkSword已确认被用于针对沙特阿拉伯、土耳其、马来西亚、乌克兰等国家的攻击活动以及针对中国的境内攻击。攻击目标覆盖政府机构、智库、高校、金融机构、法律实体及反对派人士已从“高度针对性”转为“广撒网”大规模攻击。四、影响范围4.1 受影响版本iOS 13.0 至 iOS 17.2.1Coruna主攻范围iOS 18.4 至 iOS 18.7DarkSword主攻范围4.2 受影响机型近10年所有主流机型只要系统版本在iOS 13.0至17.2.1之间均存在风险机型系列具体机型iPhoneiPhone 8/8 Plus、X、XR、XS、XS Max、11/12/13/14/15/16/17全系列iPad全系列iPad、iPad mini、iPad Air、iPad Pro4.3 国内受影响设备潜在受影响设备超3.2亿台已确认被入侵超4.2万台截至4月3日覆盖范围全国31个省市4.4 全球受影响设备据安全媒体报道全球苹果活跃设备中约18亿台曾面临不同程度的WebKit漏洞威胁其中数亿台运行存在漏洞的iOS版本。五、危害等级从个人隐私到国家安全的全面威胁危害维度具体影响隐私窃取通讯录、照片、定位、短信、聊天记录全量提取财产损失拦截短信验证码直接盗刷支付账户和银行卡设备监控远程开启摄像头和麦克风实时“直播”用户一举一动僵尸网络设备沦为“傀儡”自动转发诈骗信息或参与网络攻击供应链风险企业设备被控后可能成为攻击内部系统的跳板国家安全境外APT组织针对政府、智库、高校的定向攻击CVSS评分8.8高危工信部官方定性“轻则隐私泄露重则设备被远程控制风险极大。”六、修复方案与安全版本清单6.1 立即升级系统工信部明确指出升级系统是修复该漏洞的唯一有效途径第三方杀毒软件无法替代系统更新。用户可根据设备机型选择对应的修复版本设备类型安全版本说明iPhone 11及更新机型iOS 26.4.1最新安全版本推荐首选iPhone XR/XS/11系列iOS 18.7.7针对无法升级至iOS 26的老机型iPhone 8/XiOS 16.7.15纯安全补丁无新增功能iPhone 6s/7/SE第一代iOS 15.8.7适用于最老一批设备无法升级的设备无补丁iOS 13和iOS 14暂无官方补丁需升级至更高版本特别提醒苹果官方安全发布显示iOS 26.4.1已于2026年4月8日发布无对应CVE条目属于后台安全改进更新修复了相关WebKit漏洞。6.2 后台安全改进机制苹果通过“后台安全改进”机制可在不要求用户重启设备的情况下静默安装安全补丁。用户可前往“设置”→“隐私与安全性”→“后台安全改进”开启“自动安装”功能。6.3 安全版本自查对照以下安全版本清单检查自己的设备✅ iOS 15.8.7✅ iOS 16.7.15✅ iOS 17.3及以上✅ iOS 18.7.7✅ iOS 26.4及以上❌ 高危版本iOS 13.0 至 iOS 17.2.1、iOS 18.4 至 iOS 18.76.4 升级操作步骤连接稳定Wi-Fi确保电量50%或连接电源打开“设置”→“通用”→“软件更新”系统将自动检测适配版本iOS 26.4.1或iOS 18.7.7等点击“下载并安装”输入锁屏密码等待设备自动重启完成安装七、临时防护措施7.1 开启“锁定模式”若用户因担心卡顿、等待越狱等原因暂时不想升级系统苹果官方给出了临时解决方案——开启「锁定模式」。路径设置 → 隐私与安全性 → 锁定模式。据苹果官方确认「锁定模式」自2022年推出以来四年内全球没有一例开启该模式的设备被商业间谍软件成功入侵。今年初还出现了一个名场面美国FBI扣押了一名记者的iPhone 13由于开启了锁定模式专家折腾了两周硬是没撬开数据。需要付出的代价开启锁定模式后网页预览、附件查看功能以及部分复杂网页功能会受到限制使用体验会略有折扣。7.2 其他应急措施对于无法升级至安全版本的iPhone 7及更早机型工信部建议停止使用Safari浏览器改用Chrome或Firefox等第三方浏览器并关闭iCloud云同步、蓝牙及定位服务。关闭Safari的JavaScript功能限制第三方App内置网页权限开启Apple ID双重认证设置 → Apple ID → 密码与安全性定期在“设置→隐私与安全性”中检查权限管理关闭不必要的摄像头、麦克风授权不点击任何陌生链接——哪怕是好友发的也请先电话确认开启自动更新设置→通用→软件更新→自动更新7.3 关于iOS 13和iOS 14用户的特别提醒苹果目前尚未给iOS 13和iOS 14这两个版本发布漏洞补丁。如果用户的设备仍停留在这两个版本必须至少升级到iOS 15以上的最新版本才能获得有效的漏洞防护。八、总结与建议从Coruna到DarkSword从国家级APT到犯罪团伙从乌克兰到中国——2026年春天一场波及全球数亿苹果用户的网络安全风暴正在席卷而来。此次事件折射出三个值得关注的发展趋势国家级武器平民化原本只有国家级APT组织才能获取的高端漏洞利用工具经泄露后在GitHub公开低阶犯罪团伙乃至个人均可“即插即用”大幅降低定向攻击门槛。零日漏洞武器化攻击者通过“水坑攻击”等手法在用户访问正规网站时即可植入恶意载荷传统基于签名的防御手段几乎失效。监管主动出击工信部罕见地针对单一厂商发布最高级别红色预警反映监管部门对移动终端安全风险的高度重视也意味着移动设备安全已上升至国家网络安全战略层面。致所有苹果用户请不要以“怕卡顿”“等越狱”“续航下降”为由拒绝更新。4.2万台已沦陷的iPhone3.2亿台暴露在风险中的设备以及已被实战利用的国家级漏洞——这些数字提醒我们流畅的代价可能是隐私与财产的彻底裸奔。致企业安全团队建议立即通过MDM策略强制推送安全更新并在网络中部署流量检测能力对WebKit相关的异常行为进行监控。最后的提醒切勿点击任何不明链接打开“设置”中的“软件更新”现在就去升级。这或许是你为保护个人信息安全能做的最简单、也最有效的一件事。参考资料工信部NVDB网络安全威胁和漏洞信息共享平台红色预警公告2026年4月3日Apple官方安全发布iOS 26.4.1安全更新2026年4月9日Google GTIG、iVerify、Lookout联合披露Coruna漏洞利用工具包分析报告2026年3月ProofpointTA446组织利用DarkSword定向钓鱼攻击研究报告2026年3月NCC-CSIRT安全公告Apple WebKit漏洞CVE-2026-20643分析2026年4月9日长亭科技“暗剑”漏洞实战分析与防护指南2026年4月奇安信威胁情报中心iOS高端攻击武器扩散威胁报告2026年3月阿里云开发者社区TA446组织利用DarkSword漏洞套件攻击研究2026年3月本文为原创技术分析欢迎转发提醒更多苹果用户你的每一次转发都可能阻止一次隐私泄露。