多名网络安全研究人员近期警告，部分针对iOS系统的黑客工具已在网络上泄露，可能使仍在使用旧版系统的数以百万计iPhone用户面临间谍软件攻击风险。

业内专家普遍认为，发现并利用iOS漏洞的门槛较高，通常需要长期投入大量时间和资源，以及具备高技术水平的研究团队，才能突破苹果多层安全防护。因此，iPhone间谍软件和零日漏洞长期被视为稀缺资源，主要用于范围有限、目标明确的攻击，苹果方面也多次强调这一点。

然而，谷歌、iVerify和Lookout的网络安全团队在过去一个月记录到多起大规模攻击活动。研究人员称，这些攻击使用名为“Coruna”和“DarkSword”的工具，几乎无差别地针对全球未运行苹果最新软件的用户。相关攻击被指与俄罗斯情报机构和中国网络犯罪团伙有关，攻击者通过被入侵的网站或伪造页面锁定目标，可能从大量受害者的手机中窃取数据。

研究人员表示，其中部分工具现已在网上泄露，任何人都可以获取相关代码，从而更容易对运行旧版本iOS的用户发起攻击。

苹果近年来在安全和开发技术方面持续投入，包括在最新iPhone机型中引入内存安全代码，以及推出“锁定模式”等功能，专门应对潜在的间谍软件攻击。公司目标是提升新款iPhone的整体安全性，并强化“iPhone极难被攻破”的市场认知。

与此同时，大量旧款、已停止更新或长期未升级的iPhone仍在使用中，安全研究人员认为，这些设备更容易成为间谍软件、间谍组织和网络犯罪分子的攻击目标。

研究人士指出，目前iPhone用户在安全防护水平上已出现明显分化。一类是使用2025年发布的iPhone 17并运行最新iOS 26系统的用户。该系统引入一项名为“内存完整性执行”的新安全功能，旨在阻断内存损坏类漏洞——这类漏洞是间谍软件和解锁手机攻击中最常被利用的缺陷之一。谷歌方面称，DarkSword在攻击中严重依赖内存损坏漏洞。

另一类则是仍在运行iOS 18及更早版本系统的用户。这些旧版本曾被曝存在多种与内存相关的攻击路径和其他可被利用的安全缺陷。研究人员认为，Coruna和DarkSword的曝光表明，基于内存的攻击仍可能持续影响未及时更新系统的旧款iPhone和iPad用户。

iVerify和Lookout两家销售移动安全产品的网络安全公司表示，Coruna和DarkSword的出现，可能会动摇长期以来“iPhone攻击罕见”的普遍印象。

iVerify联合创始人Matthias Frielingsdorf在接受TechCrunch采访时表示，移动端攻击目前“已相当普遍”。他同时指出，针对最新软件版本的零日攻击“始终价格昂贵”，暗示此类攻击不太可能被广泛用于大规模入侵活动。

苹果安全专家Patrick Wardle则指出，公众往往因为相关报道较少，而误以为针对iPhone的攻击本身罕见或高度复杂。他认为，现实情况可能是部分攻击长期存在但未被发现。

Wardle对TechCrunch表示，将此类攻击称为“高度先进”，类似于把坦克或导弹称为先进武器，“虽然说法没错，但忽略了重点”。在他看来，这类能力已成为该层级行为体的“基本能力”，多数国家都具备，或可以在合适价格下获得。

研究人员还注意到，Coruna和DarkSword的案例暴露出一个正在兴起的“二手”漏洞市场。Lookout首席研究员Justin Albrecht称，这一市场为漏洞开发者和中间商提供了额外经济激励，“基本上让他们能为同一漏洞赚取两次报酬”。

Albrecht表示，尤其是在初始漏洞被修补之后，中间商在用户尚未全部完成更新前转售相关漏洞，是一种“合乎逻辑”的做法。他对TechCrunch说，这并非一次性事件，而是“未来趋势的一个信号”。