維基解密繼月初爆料後，周四再公佈第二批美國中情局（CIA）文件，揭露CIA曾針對Mac電腦及iPhone發展的攻擊工具。

這批名為暗物質（Dark Matter）的文件是維基解密為月初Vault 7行動的第二部份，包含CIA如何發展EFI/UEFI及韌體惡意程式，且長期潛伏在Mac電腦和iPhone上。

維基解密揭露一個名為Sonic Screwdriver的工具，能在Mac筆電或桌機開機時，在周邊裝置上執行程式碼。它的感染器儲存在蘋果裝置的Thunderbolt連接埠上的韌體上，藉此感染任何以像是USB隨身碟實體存取Mac電腦的裝置，躲避韌體上的密碼防護而植入CIA發展的惡意程式。

事實上，Sonic screwdriver使用的Thunderbolt攻擊手法最早是見於2012年黑帽年會中，後來由安全研究人員Trammell Hudson首度發表概念驗證攻擊。媒體推斷CIA可能是在讀取他的簡報後才開發這項工具，當時必須實體存取到Mac電腦一段時間才能攻擊。由於Hudson之後又將其「升級」為可遠端攻擊，因此如果CIA是以他為師，則Sonic screwdriver也可能發展出遠端攻擊的能力。

而名為DarkSeaSkies的間諜程式則可植入並潛伏在蘋果MacBook Air 的EFI韌體，它是由三種分別植入EFI、核心空間（kernel space）及使用者空間（user space）的間諜程式組成，包括DarkMatter、SeaPea及NightSkies。

這批文件還介紹名為Triton的MacOS X惡意程式，可植入硬碟竊取文件，它還有一個儲存在EFI的無磁碟版姐妹品Der Starke，它比Triton更難偵測，還能和Sonic Screwdriver攻擊程式併用，危險性更高。文件顯示，Der Starke 1.4曾成功入侵2013年的OS X 10.7，迄今CIA還持續更新，目前正在發展Der Starke 2.0版。

除了Mac電腦外，這批文件還公佈了iPhone攻擊程式。CIA於2008年發展的NightSkies 1.2可以存取iPhone中的聯絡人、簡訊及通話紀錄，再上傳CIA的伺服器，還可透過指令遠端下載工具。不過它的感染方式相當古老，只能用iTunes將它從電腦傳到iPhone上，而且僅影響2009年推出的iPhone 3G及iOS 2.1。文件顯示CIA主要是感染iPhone供應鏈以植入新出廠的手機。

所幸上述文件涉及的軟體瑕疵，都已經過蘋果修補。文件發佈後，蘋果對媒體發表聲明指出，文件中提及的iPhone漏洞已在2009年修補完成，而所有Mac漏洞在2013年後也都不復存在。蘋果也否認與維基解密有過任何交涉，並未在私下接獲該組織任何資訊。