文章总结： 该文档深度分析了针对iOS系统的国家级网络攻击，揭示了以Pegasus、Predator和三角测量行动为代表的雇佣兵间谍软件利用iMessage、WebKit等零点击漏洞进行定向渗透的技术逻辑。核心结论是移动安全威胁已从用户交互依赖转向静默自动化攻击。文档为高风险用户提供了实战防护策略，包括关闭iMessage/FaceTime、启用封锁模式、即时断网重启以及检查恶意配置描述文件，强调通过最小化攻击面和改变使用习惯来构建有效防御。 综合评分： 85 文章分类： 移动安全,漏洞分析,威胁情报,安全意识,解决方案

3.字体引擎与ADJUST指令（所谓的ttf文件风险）

在“三角测量操作”中，攻击者利用了苹果字体解析引擎中一个名为ADJUST的未公开TrueType字体指令。这个指令自20世纪90年代以来一直存在于代码中，属于极度冷门的遗产功能。

普通用户收到的所谓“ttf”文件或其它非常规附件，往往就是为了触发这类解析器漏洞。当系统试图渲染这些恶意构造的字体时，会发生远程代码执行，攻击者随后通过链式漏洞获取内核权限。

三角测量行动：最后一个（硬件）谜团[9] 卡巴斯基披露了iPhone一项在“三角测量行动”案件中至关重要的硬件功能[10] 三角定位行动：iPhone 中此前未知的功能被间谍软件利用[11]

4.WebKit与Safari：传统但致命的路径

尽管零点击攻击占据了头条，但WebKit（Safari的核心引擎）依然是重要的攻击面。WebKit漏洞通常涉及JavaScriptCore(JSC) 引擎的内存管理 。

对 iOS 版 Pegasus 漏洞的技术分析[12]

当用户访问受恶意脚本控制的网页时，攻击者可以利用JIT（即时编译）编译器的漏洞。JIT编译器为了提升性能，会将 JavaScript代码转换为机器码并存放在具有可读、可写、可执行（RWX）权限的内存区域。攻击者通过内存破坏漏洞定位并改写这些区域，从而在浏览器进程中执行原生恶意代码。

5.硬件级别的隐蔽绕过

“三角测量操作”揭示了国家级攻击者对苹果硬件底层的深度挖掘。攻击者利用了苹果SoC（系统级芯片）中一个未记录的硬件特征—内存映射I/O(MMIO)寄存器。

“三角测量行动”间谍软件攻击者绕过iPhone内存保护[13]

这些寄存器不被官方固件使用，但能够绕过操作系统的页保护层（PPL）。攻击者通过向这些秘密寄存器写入数据和哈希值，直接操纵受保护的内核内存区域。这种“通过模糊实现安全”（Security through obscurity）的硬件设计缺陷，一旦被顶级情报机构掌握，将成为无法被传统软件防护手段监测的终极武器。

第三章 针对普通用户的实战防御框架

虽然国家级攻击具有极高的隐蔽性，但通过结合实际案例中的发现，普通用户可以通过改变使用习惯和启用特定系统功能，将攻击难度提升到绝大多数攻击者无法承受的程度。

1.阻断主要通讯渠道：iMessage与FaceTime

iMessage是目前已知的、被利用频率最高的零点击路径。对于非必须使用该功能的用户，彻底关闭它是最有效的“降维打击”手段。

• • 关闭机制的深度性： 用户应在所有设备（包括 iPhone、iPad和Mac）上关闭iMessage。如果仅在手机上关闭，而Mac仍开启，攻击者仍可以通过同步到电脑端的恶意附件实施渗透。
• • FaceTime 的风险点：FaceTime同样存在被零点击漏洞利用的记录（如CVE-2019-3568）。如果用户平时主要使用第三方端到端加密应用（如 Signal），建议关闭FaceTime以进一步缩小攻击面。

我出于安全考虑关闭了iMessage[14]

2.浏览器策略：超越Safari的选择与加固

Safari的WebKit引擎是iOS系统强制要求的底层（即使是第三方浏览器在iOS上也必须使用WebKit后端）。然而，用户可以采取以下策略：

• • 启用无痕浏览模式： 在某些iOS版本中，无痕浏览会开启更严格的跟踪防护和内存管理机制。

了解 iPhone 的隐私和安全设置[15]

• • 隔离策略： 避免在手机浏览器中打开来自社交平台（如 Twitter、Telegram）的非预期链接。如果必须打开，应考虑在受信任的桌面环境中使用虚拟机开启。

3.突发情况的处理：即时网络切断与物理隔离

用户在接收到莫名文件（如图像崩溃、未知的.ics日历邀请或疑似.ttf字体附件）时，应立即采取措施。

• • 立即断网：立即开启飞行模式并关闭Wi-Fi。许多间谍软件在第一阶段漏洞利用成功后，需要通过 HTTPS 向 C2（指令与控制）服务器发送请求以拉取第二阶段的持久化负载 。在有效载荷下载完成前切断网络，可以阻止攻击链的闭环。
• • 强制重启：绝大多数现代间谍软件（如Pegasus的后期版本和Predator）都是不具备持久性的，即它们只存在于内存中 。强制重启设备（音量加、音量减、长按电源键）会清除内存中的活动载荷。
• • 检查配置描述文件：恶意配置描述文件是攻击者滥用企业管理功能（MDM）的典型方式 。攻击者通过诱导用户安装描述文件，可以重定向所有流量至其代理服务器，甚至实施`中间人攻击（MitM）以解密HTTPS通讯。

恶意描述文件——移动设备面临的最严重威胁之一[16]

| 检查项 | 正常状态 | 异常信号 | | — | — | — | | 设置 > 通用 > VPN与设备管理 | 无描述符或仅有受信任的公司/校园配置 | 出现未知的“配置描述符”或“企业应用证书” | | 根证书管理 | 仅限系统预装证书 | 出现手动安装且标记为“信任”的第三方根证书 |

第四章 苹果官方极端保护模式：Lockdown Mode

苹果推出的“封锁模式”（Lockdown Mode）是应对国家级攻击的终极防御方案。它并非针对普通用户设计，而是为记者、外交官和高风险群体量身定制。

苹果公司扩大了其在保护用户免受高针对性雇佣间谍软件侵害方面业界领先的承诺[17]

1.封锁模式的技术限制及其防御逻辑

开启封锁模式后，iOS会通过牺牲大量功能来换取攻击面的极限收缩：

• • 附件拦截：iMessage拦截除常见图像、视频、音频外的绝大多数附件。它完全停止解析 PDF 和复杂的图像格式（如 JBIG2），从而在物理上阻断了类似于 FORCEDENTRY 的攻击路径。
• • Web技术削减：禁用Just-in-Time (JIT) 编译。这意味着WebKit内存区域不再具有RWX权限，即使攻击者发现了WebKit漏洞，也极难在浏览器中执行shellcode。
• • 连接保护：当手机锁定时，禁止所有有线数据连接。这可以防御类似于Cellebrite这种依赖物理接触的取证工具。
• • 服务封锁：屏蔽所有未曾联系过的FaceTime呼叫和共享邀请。

iPhone 锁定模式可以保护您的数据，即使是 FBI 也无法获取。[18]

第五章 取证、检测与持续性斗争

针对国家级攻击的防御不是一劳永逸的，它是一个持续的博弈过程。

1.日常重启：反持久化的简单武器

虽然重启无法修复漏洞，但它能中断攻击者的会话。

研究表明，许多国家级攻击者为了保持隐蔽性，倾向于使用驻留内存的非持久化模块。每日重启一次手机，能有效迫使攻击者重新执行昂贵的零点击漏洞链，这不仅增加了其操作成本，也提高了攻击被安全机构捕获的概率。

2.取证日志的保存与丢失

在iOS26之前的版本中，安全专家可以通过分析shutdown.log（关机日志）来寻找Pegasus留下的痕迹。然而，随着系统的迭代，苹果改变了日志的存储机制（iOS 26 之后日志会在每次重启时被覆盖），这客观上增加了取证的难度。

iOS 26 更新已清除 Pegasus 和 Predator 间谍软件的关键 IOC[19] iOS 26 每次重启都会清除间谍软件痕迹——更新前请备份手机[20]

用户如果怀疑自己受到了针对性攻击，且收到了苹果官方的“威胁通知”，应采取以下措施：

• • 保持当前状态并备份： 不要立即抹掉设备，因为这会破坏证据。应在可能的情况下进行全盘备份。
• • 寻求专业协助。他们拥有分析高级间谍软件残留物的专业工具（如 MVT）。

关于 Apple 威胁通知和防范雇佣间谍软件[21]

第六章 结论与未来演进

移动端安全防御已经进入了一个硬件驱动、功能受限的新时代。对于普通人而言，防御国家级攻击的关键不在于安装某种杀毒软件（iOS 的沙箱机制决定了第三方杀毒软件无法深度扫描系统），而在于“最小化攻击面”。

通过关闭不必要的系统服务（iMessage、FaceTime）、警惕非常规附件格式（字体、图像）、养成定期重启习惯，并学会在风险触发时果断实施网络物理隔离，用户可以构建起一道坚实的防御阵地。

正如“三角测量操作”所揭示的，技术上的完美并不存在，但防御者的警觉和对系统核心功能的理性取舍，是确保数字主权不被侵犯的最后一道防线。苹果公司持续推进的“BlastDoor”架构和“封锁模式”反映了系统层面的努力，但安全始终是技术、习惯与威胁意识三者共同作用的结果。

获取本文完整内容（iPhone安全防护指南.pdf），请回复20260224。

引用链接

[1] pegasus(飞马座间谍软件): https://www.cyber.nj.gov/threat-landscape/malware/mobile-malware/ios-malware/pegasus [2] 技术研究报告：iPhone 高级零点击漏洞利用和间谍软件（2019-2025）: https://www.researchgate.net/publication/392685431_Technical_Research_Report_Advanced_iPhone_Zero-Click_Exploits_and_Spyware_2019_-_2025 [3] 首次法证证实 Paragon 的 iOS 雇佣兵间谍软件以记者为目标: https://citizenlab.ca/research/first-forensic-confirmation-of-paragons-ios-mercenary-spyware-finds-journalists-targeted/ [4] NSO集团iMessage零点击漏洞已被实战捕获: https://citizenlab.ca/research/forcedentry-nso-group-imessage-zero-click-exploit-captured-in-the-wild/ [5] NSO集团的iPhone零日漏洞被用来对付一名阿联酋人权捍卫者: https://citizenlab.ca/research/million-dollar-dissident-iphone-zero-day-nso-group-uae/ [6] 深入分析 Pegasus 间谍软件以及如何在移动设备上检测它: https://www.group-ib.com/blog/pegasus-spyware/ [7] iPhone零点击漏洞：工作原理及保护方法: https://www.protectstar.com/en/blog/iphone-zero-click-exploits-how-they-work-and-how-to-protect-yourself [8] 零点击攻击的出现: https://www.validia.ai/en/blog/zero-click-attacks [9] 三角测量行动：最后一个（硬件）谜团: https://securelist.com/operation-triangulation-the-last-hardware-mystery/111669/ [10] 卡巴斯基披露了iPhone一项在“三角测量行动”案件中至关重要的硬件功能: https://www.kaspersky.com/about/press-releases/kaspersky-discloses-iphone-hardware-feature-vital-in-operation-triangulation-case [11] 三角定位行动：iPhone 中此前未知的功能被间谍软件利用: https://siliconangle.com/2023/12/27/operation-triangulation-previously-unknown-feature-iphones-exploited-spyware/ [12] 对 iOS 版 Pegasus 漏洞的技术分析: https://www.lookout.com/documents/threat-reports/us/lookout-pegasus-tr-us.pdf [13] “三角测量行动”间谍软件攻击者绕过iPhone内存保护: https://www.darkreading.com/application-security/operation-triangulation-spyware-attackers-bypass-iphone-memory-protections [14] 我出于安全考虑关闭了iMessage: https://discussions.apple.com/thread/255594598?sortBy=rank [15] 了解 iPhone 的隐私和安全设置: https://ssd.eff.org/module/how-to-get-to-know-iphone-privacy-and-security-settings [16] 恶意描述文件——移动设备面临的最严重威胁之一: https://www.jamf.com/blog/malicious-profiles-come/ [17] 苹果公司扩大了其在保护用户免受高针对性雇佣间谍软件侵害方面业界领先的承诺: https://www.apple.com/newsroom/2022/07/apple-expands-commitment-to-protect-users-from-mercenary-spyware/ [18] iPhone 锁定模式可以保护您的数据，即使是 FBI 也无法获取。: https://appleinsider.com/articles/26/02/04/iphone-lockdown-mode-will-protect-your-data-even-from-the-fbi [19] iOS 26 更新已清除 Pegasus 和 Predator 间谍软件的关键 IOC: https://iverify.io/blog/key-iocs-for-pegasus-and-predator-spyware-cleaned-with-ios-26-update [20] iOS 26 每次重启都会清除间谍软件痕迹——更新前请备份手机: https://www.gblock.app/articles/ios-26-shutdown-log-spyware-forensics [21] 关于 Apple 威胁通知和防范雇佣间谍软件: https://support.apple.com/en-us/102174

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：白帽子安全笔记2.0 陆安予 陆安予《针对iOS系统的国家级网络攻击深度分析与个人安全防护指南》