新型iOS漏洞利用工具DarkSword窃取用户敏感数据Lookout威胁实验室联合谷歌、iVerify于近期披露一款新型iOS漏洞利用工具包DarkSword,该工具包自2025年底起被多个威胁组织滥用,攻击范围覆盖沙特阿拉伯、土耳其、马来西亚、乌克兰等国家,对全球数亿iOS设备构成安全威胁。DarkSword具备零交互攻击能力,用户仅需在Safari浏览器中打开恶意网页,无需进行任何点击操作或权限授权,即可被该工具包静默接管设备,进而窃取设备内各类敏感数据,且攻击完成后会快速清除痕迹,增加检测难度。
一、攻击目标范围
DarkSword工具包主要针对运行iOS 18.4至iOS 18.7版本的iPhone设备,据统计,全球约25%的iPhone仍在使用该版本区间,均属于该工具包的重点攻击对象。经安全机构溯源,疑似与俄罗斯关联的威胁组织UNC6353已将该工具包用于针对乌克兰的定向攻击,此外,商业监控供应商及疑似国家支持的黑客团队,也在利用该工具包发动多地域定向攻击。二、漏洞构成与攻击链解析
DarkSword的核心威胁源于其串联的6个独立系统漏洞,形成了从浏览器沙箱逃逸到内核提权的完整攻击链,可实现对iOS设备的完全控制。其中3个为未公开0day漏洞(即厂商未提前发现、未修复的漏洞),安全风险等级极高。CVE-2025-31277:JavaScriptCore内存损坏,CVSS评分8.8,属于高危漏洞;CVE-2026-20700:dyld PAC绕过,0day漏洞,CVSS评分8.6,属于高危漏洞;CVE-2025-43529:JavaScriptCore内存损坏,0day漏洞,CVSS评分8.8,属于高危漏洞;CVE-2025-14174:ANGLE内存损坏,0day漏洞,CVSS评分8.8,属于高危漏洞;CVE-2025-43510:iOS内核内存问题,CVSS评分8.6,属于高危漏洞;CVE-2025-43520:iOS内核内存损坏,CVSS评分8.6,属于高危漏洞。上述漏洞组合利用,可轻松突破iOS系统安全防护,实现对设备的静默接管,无需用户任何操作即可完成攻击触发。三、攻击模式特征
与传统长期驻留型间谍软件不同,DarkSword采用“打了就跑”的短时攻击模式,其核心特征如下:隐蔽性强:全程通过JavaScript实现攻击流程,不安装二进制木马程序,不向设备磁盘写入文件,常规安全检测工具难以发现;攻击速度快:从数据采集到外传仅需数秒至数分钟,驻留时间极短,降低被发现的概率;痕迹可清除:数据窃取完成后,会自动删除攻击过程中产生的临时文件、退出相关进程,设备重启后无明显攻击痕迹,但泄露数据已无法挽回;目标精准:通过恶意iframe加载脚本实现设备指纹识别,仅针对iOS 18.4-18.7版本设备发动攻击,提升攻击效率。安全研究人员发现,DarkSword工具包重点针对MetaMask、Phantom等加密货币钱包应用,同时会窃取iMessage通讯记录、手机照片、健康数据、钥匙串密码等敏感信息,攻击动机兼具情报窃取与经济牟利双重属性。四、漏洞利用链黑市化趋势
DarkSword的曝光揭示了当前移动安全领域的严峻趋势:高级iOS漏洞利用链已形成地下二级市场,使得技术能力不足的攻击者也能通过漏洞交易获取高精度攻击能力。此前,此类复杂漏洞利用技术仅被少数顶尖黑客组织掌握,而当前通过地下市场交易,各类威胁组织均可购买DarkSword等工具包,发动零点击定向攻击。谷歌GTIG专家证实,自2025年11月以来,已有多个组织活跃使用DarkSword,包括UNC6353、商业监控供应商及网络犯罪集团,漏洞利用技术正在不同地域、不同动机的威胁组织间快速扩散。五、安全防护方案
苹果公司已在iOS 26.3版本中,全面封堵了DarkSword所用的6个漏洞。为防范相关攻击,iOS用户应采取以下防护措施:及时升级系统:打开设备【设置】→【通用】→【软件更新】,将系统升级至iOS 26.3及以上版本,这是防范该漏洞攻击最有效的手段;安装安全补丁:对于无法升级至最新系统版本的设备,需及时安装苹果推送的安全补丁,可暂时关闭Safari浏览器JavaScript功能(路径:设置→Safari→JavaScript),降低攻击触发风险;强化日常防护:避免访问不明来源网站,不点击陌生链接(尤其是社交软件、邮件中的短链接),定期重启设备,可清除潜在的临时感染痕迹,但无法挽回已泄露的数据。六、总结
DarkSword漏洞利用工具包的出现,反映出iOS高级漏洞黑市化的发展态势,也凸显了移动设备安全防护的紧迫性。随着漏洞交易的泛滥,普通用户面临的无感知入侵风险持续上升,及时更新系统、强化日常防护,是保障个人隐私与财产安全的关键。
夜雨聆风