挑戰
國家級攻擊者利用兩個 WebKit 零日漏洞組成攻擊鏈,透過瀏覽器即可無聲植入間諜軟體,傳統端點防護無法偵測。
解決方案
立即更新至 iOS 26.2、透過 MDM 強制最低 OS 版本、啟用 Lockdown Mode 阻斷攻擊鏈,並搭配行動裝置鑑識確認裝置是否已遭入侵。
成果
iOS 26.2 修補 37 個 CVE(含 2 個零日),Lockdown Mode 確認可阻斷此攻擊鏈。企業應搭配鑑識檢測確認更新前裝置未遭入侵。
Apple 在 12 月 12 日釋出 iOS 26.2,修補了 37 個安全漏洞,其中兩個已經被國家級攻擊者串聯利用,部署間諜軟體。這不是理論上的風險。Google 的威脅分析團隊和多家情報公司已確認:這是一次針對記者、政府官員等高價值目標的真實攻擊。美國 CISA 已將兩個零日漏洞列入「已知遭利用漏洞」清單。
兩個零日漏洞:點開連結就中招
想像這個場景:你收到一則訊息,附上一個看似正常的網頁連結。可能是假冒的新聞網站、偽裝的公司內部公告,或是朋友帳號被盜後轉發的連結。你用 iPhone 的 Safari 打開,頁面看起來很正常,沒有任何異狀。但在背景,你的手機已經被植入間諜軟體。
這不是科幻情節,這就是這次零日漏洞攻擊的實際手法。
第一個漏洞:打開瀏覽器防護的缺口(CVE-2025-14174)
這個漏洞出在瀏覽器用來顯示圖形的底層引擎。用最簡單的比喻:就像建築物的地基出現裂縫,攻擊者可以透過特製的網頁內容,在你的瀏覽器記憶體中「鑿出一個洞」。
這個漏洞影響範圍很廣:不只 iPhone 的 Safari,連 Chrome、Firefox 都受影響。Google 在 12 月 10 日就緊急修補了 Chrome,兩天後 Apple 才跟進。這兩天的空窗期,所有 iPhone 用戶都處於風險之中。
第二個漏洞:接管你的手機(CVE-2025-43529)
第一個漏洞打開缺口後,第二個漏洞負責「佔領」你的手機。攻擊者利用瀏覽器處理網頁時的記憶體管理問題,將惡意程式碼注入你的系統。
這就是關鍵:一般來說,瀏覽器有「沙盒」防護機制,即使瀏覽器被攻破,惡意程式也無法存取你的照片、訊息等資料。但這次攻擊能突破沙盒,完全控制你的 iPhone。
攻擊鏈如何運作?
- 你點開一個惡意連結 - 可能來自簡訊、iMessage、Email 或社群媒體
- 瀏覽器載入網頁 - 表面上看起來正常,可能是新聞、優惠資訊,或公司內部文件
- 第一個漏洞啟動 - 網頁中隱藏的惡意程式碼開始在記憶體中「動手腳」
- 第二個漏洞接手 - 惡意程式碼突破瀏覽器的防護機制
- 間諜軟體安裝完成 - 攻擊者現在可以:
- 讀取你所有的訊息(iMessage、LINE、WhatsApp)
- 存取你的通話記錄
- 開啟麥克風和相機
- 追蹤你的位置
- 讀取你的照片和文件
- 監控你的所有活動
最可怕的是:整個過程完全無聲無息。手機不會當機、不會跳出任何警告、不會有任何異常跡象。你可能已經被監控數週甚至數月而完全不知情。
封閉模式能救你一命
Apple 的「封閉模式」(Lockdown Mode)已被證實可以阻擋這次攻擊。它會關閉一些進階功能來換取更高的安全性。如果你是高風險人士,建議立即開啟。
不只零日:37 個資安漏洞一次修補
兩個零日漏洞只是冰山一角。iOS 26.2 總共修補了 37 個安全漏洞,每一個都可能成為攻擊者的入口。
最危險:完全接管你的 iPhone
CVE-2025-46285 讓惡意 App 可以取得系統最高權限(root 權限)。這代表什麼?
想像你家的門鎖被撬開,小偷不只能進入客廳,還拿到了所有房間的鑰匙:
- 能讀取所有 App 的資料(包括銀行 App、密碼管理器)
- 能攔截你的簡訊驗證碼
- 能竊改你的金融交易
- 能完全控制你的手機,而你毫無察覺
硬體攻擊:惡意配件也能入侵
Google 安全團隊發現了七個與觸控螢幕相關的漏洞。實際威脅:攻擊者可以透過惡意的充電器、連接線,甚至是觸控筆等配件,在你的手機植入惡意程式。
建議:不要使用來路不明的充電器或配件,特別是在公共場所。
隱私全面淪陷
這次更新還修補了多個隱私漏洞,每個都可能讓你的私人資訊外洩:
- 照片隱藏相簿不再隱藏 - 其他人可以在沒有密碼的情況下查看你的「隱藏」照片
- App 間諜活動 - 惡意 App 可以知道你裝了哪些應用程式(這可以用來判斷你的工作、興趣、甚至政治立場)
- 瀏覽紀錄洩漏 - 你的 Safari 瀏覽歷史可能被其他 App 讀取
- FaceTime 密碼外洩 - 遠端協助時,密碼輸入欄位可能被對方看到
- 支付資訊外洩 - App Store 的付款資訊可能被惡意程式竊取
其他值得注意的風險
- Face ID 繞過 - 在某些情況下,可以在不使用 Face ID 的情況下解鎖手機
- 來電 ID 偽造 - 攻擊者可以假冒任何人的來電顯示(詐騙集團最愛)
- 系統檔案篡改 - 惡意備份檔案可以修改受保護的系統設定
你是攻擊目標嗎?
這次攻擊由國際資安公司 Lookout 確認為傭兵間諜軟體攻擊(Mercenary Spyware)。這種攻擊不是隨機的,攻擊者會精準鎖定特定人士。
高風險族群包括:
企業高層
- 董事長、CEO、總經理等決策者
- 掌握商業機密、併購資訊的主管
- 負責研發、智慧財產權的核心人員
政府與公務體系
- 政治人物、民意代表
- 政府部門主管與承辦人員
- 軍方、情治、執法人員
特定產業從業者
- 半導體、生技、國防等敏感產業
- 記者、調查報導人員
- 人權工作者、律師
為什麼這些人是目標?
一支 iPhone 零日漏洞在黑市價值可達數百萬美元。攻擊者不會浪費在一般使用者身上,他們要的是:
- 企業機密和商業情報
- 政府內部資訊
- 調查中的敏感案件
- 個人通訊內容和人際網絡
但一般人也可能受害
雖然這次攻擊鎖定高價值目標,但漏洞細節已經公開。詐騙集團、網路犯罪者會快速跟進,用相同手法攻擊一般民眾。所有 iPhone 使用者都應該立即更新。
立即採取的防護措施
1. 馬上更新(最重要!)
個人使用者:
- 打開 iPhone:設定 → 一般 → 軟體更新
- 更新到 iOS 26.2 或更新版本
- 充電並連接 Wi-Fi,更新需要 10-20 分鐘
企業 IT 管理者:
- 透過 MDM(行動裝置管理)強制更新
- 將 iOS 26.2 設為最低合規版本
- 盤點所有未更新的裝置並立即處理
- 同時檢查 macOS、iPadOS、watchOS、tvOS、visionOS 的更新狀態
2. 開啟封閉模式(高風險人士必備)
如果你是高價值目標,強烈建議開啟 Lockdown Mode(封閉模式):
- 設定 → 隱私權與安全性 → 封閉模式
- 這會關閉某些功能,但能阻擋這類進階攻擊
- 已證實可以阻擋此次攻擊鏈
3. 提高警覺
- 不要點擊不明連結,特別是透過 iMessage、SMS、Email 收到的
- 即使是「朋友」傳來的連結也要小心,帳號可能已被盜用
- 避免使用公共 Wi-Fi,或使用 VPN 保護連線
- 不要使用來路不明的充電器或配件
4. 檢查可疑跡象
更新後,留意這些異常現象:
- 電池突然耗電很快
- 手機不明原因發熱
- 資料用量異常增加
- App 運作異常或莫名開啟
如有以上情況,可能已被植入間諜軟體,應尋求專業協助。
更新之後就安全了嗎?
更新只能修補漏洞,但無法回答最關鍵的問題:
你的手機在更新前是否已被入侵?
這次攻擊最可怕的特點就是完全隱形:
- 手機不會當機或變慢
- 不會跳出任何警告訊息
- 沒有任何可見的異常跡象
- 即使攻擊正在進行,使用體驗完全正常
為什麼傳統防護無效?
iPhone 的封閉性是雙面刃:
- 一般防毒軟體、EDR(端點偵測與回應)工具無法安裝在 iPhone 上
- iOS 的沙盒機制讓資安軟體無法深入檢測
- 傳統的防護工具在 iPhone 上完全派不上用場
企業面臨的矛盾困境
想像這個場景:
你的公司已經為每台電腦部署了完整的端點防護、定期漏洞掃描、即時威脅偵測。資安防護滴水不漏。
但是,CEO 口袋裡那支 iPhone —— 存放著:
- 機密會議的 Email 和訊息
- 高層主管群組的對話
- 供應商、客戶的敏感通訊
- 可能還有併購案、重大決策的討論
這支手機反而是整個企業資安架構中最薄弱的一環。
攻擊者可能已經得手
如果你是高價值目標,而這幾週內曾經:
- 點擊過不明連結
- 收到可疑的簡訊或 iMessage
- 訪問過奇怪的網站
- 感覺手機有任何異常
你的 iPhone 可能已經被植入間諜軟體。 更新系統只是關上門,但入侵者可能已經在屋內。
可立可怎麼幫你
透過 Jamf Executive Threat Protection 解決方案,可立可提供 Apple 行動裝置深度鑑識能力。我們有方法在不安裝任何軟體的情況下,判斷一支 iPhone 是否曾經遭受入侵 — 即使攻擊者已經清除了痕跡。
歡迎聯繫我們進一步了解。
關於可立可 KlickKlack
可立可是臺灣唯一同時具備 Jamf MSP 與 Elite Partner 雙重資格的夥伴,提供 Apple 裝置完整的企業管理與資安解決方案。無論是裝置部署、應用程式管理、資安防護或合規需求,我們都能提供專業的諮詢與導入服務。