法国计算机紧急应变小组(CERT-FR)发布威胁与事件报告,汇集整理Apple向特定高风险人士发出的威胁通知,并提醒收件者第一时间应保存证据,避免自行操作设备,以便后续调查,报告指出,2025年已有4波通知,分别出现在3月5日、4月29日、6月25日及9月3日。
目前清单仅限CERT-FR掌握的案例,并非完整统计,受攻击目标多因职务或身份而受到关注的人士,包括记者、律师、维权人士、政治人物、政府高端官员及战略产业决策者。
根据CERT-FR说明,收到Apple威胁通知意味着至少有一台绑定该iCloud账号的设备曾遭针对性攻击,并可能已经受到影响。通知通常通过iMessage与电子邮件送达,寄件地址为threat-notifications@email.apple.com或threat-notifications@apple.com,用户在登录iCloud时也会看到警示横幅。从攻击发生到收到通知可能相隔数月,时间长短依个案而异,CERT-FR提醒,用户一旦接获通知,务必立即采取正确步骤。
CERT-FR同时强调,收到通知后的首要行动是联系权责单位,并妥善保留通知邮件与相关资讯。应避免自行重置、删除应用程序、更新系统或重新开机,这些操作可能破坏数字鉴识所需的线索,导致调查受阻。对新闻、法律或公共事务领域人士而言,确保证据完整性尤其重要。
攻击技术方面,这些事件多利用零时差漏洞,甚至是零点击攻击手法,常见间谍软件家族包括Pegasus、Predator、Graphite与Triangulation。由于这类软件高度隐蔽且难以侦测,用户在处理时需要依赖专业支持。先联系权责单位并妥善保留通知邮件与相关资讯,完成必要的鉴识数据保存或取得专业指示后,再将系统更新至最新版本并激活自动更新。
对高风险群体而言,激活封闭模式(Lockdown Mode)可进一步缩减攻击面,同时养成每日重新开机的习惯,有助降低部分恶意常驻程序的持续性。此外,将个人与工作用途区隔,最好采用不同设备,可避免资讯混用带来的额外风险。
在组织层面,CERT-FR建议提供专用且受管控的工作设备,并创建对威胁通知邮件的识别与应对流程,特别关注上述两个Apple官方寄件地址。针对高敏感性会议,必要时应要求与会者将电子设备留置会议室外,日常操作仍应遵循资讯安全基本原则,不打开来源不明的连接或附件,使用强而独特的设备密码,打开双重验证,并避免安装来源不明的应用程序。
