如何在您的 iPhone 上尋找間諜軟體和其他隱藏的應用程式

近年來，記者(新視窗)已成為世界各國政府監控的首要目標之一。如果您是報導敏感話題的記者(新視窗)，在可以秘密監控您 iPhone 上傳輸和已儲存所有資料的間諜軟體(新視窗)應用程式國際市場背景下，沒有哪個國家的隱私是安全的。

隨著這些應用程式的激增，了解如何在 iPhone 上尋找隱藏的應用程式並將其移除變得至關重要。

• 針對記者的間諜軟體
• 駭客如何在 iPhone 上隱藏應用程式
• 如何檢查您的 iPhone 是否有 Pegasus 間諜軟體
• 如何檢查您的 iPhone 是否有 Graphite 間諜軟體
• 如何在 iPhone 上尋找隱藏的應用程式
• 如何處理裝置上的間諜軟體

針對記者的間諜軟體

2025 年 6 月，公民實驗室（Citizen Lab）(新視窗)的研究人員報告了新證據(新視窗)，顯示義大利政府正在使用由以色列公司 Paragon Solutions(新視窗) 開發的 Graphite 間諜軟體來針對記者和活動人士。

公民實驗室先前已在澳洲、加拿大、丹麥、新加坡、以色列和賽普勒斯發現使用 Graphite 的證據(新視窗)，並可能與加拿大的警察有關聯。Graphite 應對 2025 年 1 月的一次駭客攻擊負責，該攻擊針對了近 100 名記者和其他公民社會成員，攻擊他們 iPhone 上的 WhatsApp(新視窗)。值得注意的是，鑑於美國目前的事件，美國移民及海關執法局 (ICE) 於 2024 年與 Paragon 簽署了一份 200 萬美元的合約(新視窗)。

Graphite 的運作方式與 NSO Group(新視窗) 惡名昭彰的 Pegasus 間諜軟體(新視窗)非常相似。作為 Paragon Solutions 在傭兵間諜軟體世界的競爭對手，該公司以與以色列國家的密切關係而聞名，其間諜軟體被以色列列為軍事出口(新視窗)。NSO Group 將其軟體出售給世界各國政府(新視窗)，包括沙烏地阿拉伯、杜拜、印度、墨西哥、摩洛哥、盧安達和匈牙利，其 Pegasus 軟體與沙烏地人權活動家 Jamal Khashoggi(新視窗) 遭到殘忍暗殺(新視窗)有關。

駭客如何在 iPhone 上隱藏應用程式

Graphite 和 Pegasus 都是針對 iPhone 的漏洞利用套件。Graphite 比 Pegasus 更新，記錄也少得多，值得注意的是，以色列政府曾試圖在沙烏地軍火庫中以 Graphite 取代 Pegasus(新視窗)。

Apple 在 2023 年發布了一個修補程式(新視窗)來緩解 Pegasus 的影響，並在 WhatsApp 攻擊之後，發布了 iOS 18.3.1 的修補程式以解決 Graphite 利用的漏洞。但無法保證這些修補程式對已更新版本的間諜軟體有效。

這兩個應用程式都使用各種攻擊媒介利用 iOS 中的零時差漏洞。其中最令人擔憂的是零點擊攻擊(新視窗)，它利用 iMessage、WhatsApp 或 FaceTime 等應用程式中的漏洞，無需受害者點擊連結或與手機進行任何互動，即可靜默感染裝置。

一旦 iPhone 被感染，間諜軟體會使用模組化架構，根據客戶的監控目標遠端啟用或停用元件。功能包括：

• 鍵盤側錄
• 麥克風和相機存取（用於即時音訊和視訊竊聽）
• 通話日誌、簡訊、聯絡人和電子郵件存取
• 使用無障礙服務或在加密前擷取資料，以存取已加密的訊息應用程式資料（Signal、WhatsApp、Telegram）
• GPS 追蹤
• 螢幕擷取畫面擷取

間諜軟體在 iPhone 上非常難以偵測，如果它在一段設定的時間內沒有回報，或收到指令時，它可以自毀以消除證據。NSO Group 建立了一個也針對 Android 裝置(新視窗)的 Pegasus 版本。這具有與 iOS 版本類似的功能，但使用不同的攻擊模式。

很難估計有多少裝置受到這兩種間諜軟體的影響，但在 2021 年，NSO Group 外洩了 50,000 個(新視窗)潛在 Pegasus 目標的電話號碼。

如何檢查您的 iPhone 是否有 Pegasus 間諜軟體

Apple 不允許 App Store 上有真正的防惡意軟體應用程式（嚴格來說，「防惡意軟體」應用程式在 App Store 上是有的，但其對系統資源存取的限制嚴重侷限了其實用性）。無論如何，傳統的防惡意軟體軟體在其他平台上對抗 Pegasus 也是無效的。

行動裝置安全公司 iVerify 提供了一種 Threat Hunting(新視窗) 工具，聲稱已經發現了七起 Pegasus 感染(新視窗)（截至 2024 年 12 月）。iVerify Basic(新視窗) 在 App Store 上售價不到一美元（不知何故避開了 Apple 的惡意軟體掃描限制），非常容易使用。但作為封閉原始碼的專有軟體，無法獨立評估其有效性。

另一個選擇是使用 Mobile Verification Toolkit (MVT(新視窗))，這是來自由人權團體國際特赦組織安全實驗室(新視窗)的免費開源工具。這會從 iPhone 備份中提取各種類型的資料，以尋找 Pegasus 攻擊的證據，包括

• 簡訊訊息
• 通話日誌
• 來自已安裝應用程式的資料
• 系統日誌

然後，它會分析這些資料以偵測「入侵指標」(IOC)，例如已知與 Pegasus 相關的特定程序和檔案名稱。不過應注意的是，要使用該工具，您需要一台 Linux PC 或 Mac，並熟悉命令列。還需要對惡意軟體鑑識有更深入的了解，才能從結果中獲得最大收益。

一個更方便使用（具有 GUI）的選項是 iMazing(新視窗) 工具，該工具使用的方法與開放原始碼 MVT「密切相關」。它是付費軟體，但免費試用版包含 Pegasus 偵測工具。不過，您仍然需要存取 Linux PC 或 Mac。

如何檢查您的 iPhone 是否有 Graphite 間諜軟體

目前還沒有工具可以專門偵測 Graphite 感染。

上面討論的偵測 Pegasus 的工具可能有機會偵測到較新的間諜軟體，但不能依賴它們來進行此操作。下面討論的一般提示對於偵測可疑行為也可能有用。

如何在 iPhone 上尋找隱藏的應用程式

一般而言（除上述那種國家資助的間諜軟體外），iPhone 不允許第三方應用程式像在 Android 上那樣真正「隱藏」在背景中。然而，有些應用程式可能會被故意設定為難以尋找。

儘管 Apple 有相當強大的沙箱、程式碼簽署和 App Store 審查程序，但 iPhone 並非對病毒或惡意軟體免疫(新視窗)。直接存取您手機的人（例如家庭施暴者）也可能在您轉身時安裝較不複雜的間諜軟體。

這意味著每個人都可以從定期檢查 iPhone 上是否有不應執行的東西中受益。以下是一些尋找隱藏應用程式的提示：

1. 檢查您的 App 資料庫：一直滑動到最右側的主畫面。在這裡，您會看到 iPhone 上安裝的所有應用程式，即使您在一般主畫面上看不到它們。尋找任何您不熟悉的應用程式，特別是那些名稱陌生的。線上研究這些是否代表合法軟體，或是常見的惡意軟體偽裝。如果您有任何疑問，請解除安裝這些應用程式。

2. 檢查惡意組態描述檔：這些原本是為企業和學校遠端管理 iPhone 而設計的，但也可能是惡意軟體攻擊的重要媒介(新視窗)。開啟設定應用程式，前往一般 → VPN 與裝置管理。刪除任何您不認得的描述檔(新視窗)。

3. 檢查您的儲存空間：開啟設定應用程式，前往一般 → iPhone 儲存空間。檢視此處顯示的已安裝應用程式清單。如果您主畫面上可見的應用程式與此處顯示的有任何差異，都需要進一步調查。

4. 注意可疑行為：異常的電池消耗或資料使用量，或手機在未使用時發熱，都可能表示有惡意軟體。如果您具備技術技能，您可以使用封包擷取工具（例如 Wireshark）(新視窗)來分析 iPhone 資料的去向。

如何處理裝置上的間諜軟體

公民實驗室研究中一個令人鼓舞的消息是，像 Graphite 和 Pegasus 這樣的間諜軟體具有高度針對性——主要針對記者，但活動人士、異議人士、政治人物和在敏感部門工作的人也可能成為目標。

如果您擔心自己可能成為此類監控的目標，您應該啟用「封鎖模式」。這是 Apple 設計的一項特殊功能，旨在強化 iPhone 以抵禦 Pegasus 和 Graphite 所使用的那種針對性網路攻擊。若要開啟「封鎖模式」，請開啟設定應用程式，前往隱私權與安全性 → 安全性 → 封鎖模式。

值得注意的是，使用「封鎖模式」會有一些缺點，例如功能受限、便利性降低、潛在的相容性問題以及較少的自訂選項。因此，對於大多數人來說，這不是一個很好的選擇。但如果您是記者，或者認為自己可能成為間諜軟體的目標，其安全優勢可能會超過任何相對較小的不便。

您可以做的其他事情包括：

1. 更新 iOS：防禦惡意軟體的最佳方法是保持 iOS 最新，因為 Apple 會定期修補其行動作業系統，以解決發現的新漏洞。
2. 不要越獄（jailbreak）(新視窗)您的手機：這會移除 iOS 中通常內建的許多安全功能，並可能允許第三方繞過 App Store，在您不知情的情況下將應用程式側載(新視窗)到您的手機上。
3. 將手機恢復原廠設定：如果您對手機上的應用程式感到懷疑，應該將手機恢復原廠設定(新視窗)。這將清除幾乎所有「消費者級」的惡意軟體。但這可能不足以清除 Graphite 和 Pegasus 等國家資助的間諜軟體。如果您懷疑自己受到這種級別的監控，最好請專業的惡意軟體專家，或者乾脆更換您的 iPhone。
4. 使用 NetShield Ad-blocker：Proton VPN 的 DNS 過濾解決方案可以封鎖對已知惡意軟體和網路釣魚網域的 DNS 呼叫。這意味著即使您的 iPhone 感染了惡意軟體，它也可能無法「回報」。

如果您擔心自己成為國家資助的惡意軟體的目標，「封鎖模式」是專門設計來對抗此類威脅的。對於其他所有人來說，Apple 在保持 iPhone 安全方面做得很好，但請務必保持更新至最新的 iOS 版本並保持警惕。