【深度拆解】Google曝光 iOS DarkSword全链漏洞

近期由 Google 披露的 iOS 全链漏洞 DarkSword，已经从“定向间谍工具”演化为“规模化金融攻击武器”。它利用至少 6 个漏洞，可在用户几乎无感知情况下完成入侵，并大规模窃取包括加密资产在内的敏感数据 

🧠 一、从浏览器到内核：完整 Exploit Chain 架构

DarkSword 属于典型的多阶段 exploit chain，核心特点是“每个漏洞只负责一小步，但组合实现完全控制”

攻击路径（真实链路还原）

1️⃣ 入口：Safari / WebKit RCE用户只需点击恶意链接或访问被植入站点，即可触发攻击（watering hole） 

2️⃣ Sandbox Escape利用 WebKit 漏洞突破 iOS 应用沙箱

3️⃣ Kernel 提权通过内核漏洞获取系统级权限（root / kernel task）

4️⃣ Payload 注入（JS implant）部署 GHOST 系列后门，实现长期控制

👉 关键点：攻击链通过 Safari 一次触发即可完成全流程，“hit-and-run”快速窃取数据后消失 

💻 二、恶意载荷代码结构解析（GHOST 系列）

DarkSword 并不是单一 malware，而是一个框架化 exploit kit，不同攻击者加载不同 payload（GhostBlade / GhostKnife / GhostSaber） 

// 结构还原(基于 GTIG / Lookout 分析)src/├── InjectJS.js├── libs/│ ├── Chain/Chain.js│ ├── Native/Native.js│ ├── Driver/Driver.js│ └── Utils/FileUtils.js

🔍 核心模块拆解

1️⃣ 设备信息收集

functioncollectDevice() {return {accounts: getAccounts(),apps: listApps(),location: getLocation()}}

👉 实际能力：读取账号、设备信息、位置、浏览记录等 

2️⃣ 加密资产扫描（关键能力）

functionscanWallet() {search("/private/var/mobile/", ["wallet", "seed", "mnemonic", "keystore"])}

👉 已确认可窃取：

• 加密钱包数据
• 已登录账户
• 浏览器保存信息 

3️⃣ 数据打包与外传

functionexfiltrate(data){send(encrypt(data))}

👉 可外传：消息、照片、密码、crypto 数据等 

4️⃣ JS 后门执行

functionexec(cmd){returneval(cmd)}

👉 支持远程动态控制（C2 指令）

🧩 三、针对 CEX 与钱包的“定向狩猎机制”

与传统 spyware 不同，DarkSword 的设计明显偏向金融变现

🎯 实际窃取目标

• 加密钱包数据（私钥、助记词相关缓存）
• 交易所账户信息
• 浏览器 session / 登录状态
• 2FA / 消息记录

👉 报告明确指出其可窃取“cryptocurrency wallet information” 

🔥 攻击策略拆解

1️⃣ App 指纹识别

if(app.includes("wallet") ||app.includes("coin")){target=true}

2️⃣ 本地数据提取

路径重点：

/private/var/mobile/Containers/Data/Application/

3️⃣ 通信与账户接管

• 短信 / 消息
• 已登录账号
• 浏览器 cookie

👉 GhostKnife 已明确支持读取“signed-in accounts / messages / location” 

4️⃣ 无文件攻击（Fileless）

• 不持久化
• 攻击后自动清除

👉 典型“hit-and-run”战术 

⚠️ 四、为什么这次特别危险

🧨 1. exploit 已商品化

• 多个组织同时使用同一链路
• 包括商业 spyware 公司 + 国家级组织 

👉 说明：漏洞链已进入“黑产供应链”

🌍 2. 攻击规模首次互联网化

• 影响设备约 2.2 亿～2.7 亿 
• 通过网站批量投放

👉 不再是 APT 定点攻击

💰 3. crypto 成核心变现目标

研究人员明确指出：👉 该生态正在形成“专门窃取数据和加密资产的攻击市场” 

🛡️ 五、防御建议（工程级）

✅ 系统层

• 升级至最新 iOS（漏洞已修复） 
• 开启 Lockdown Mode（可阻断部分攻击） 

✅ 资产层

• 私钥与助记词完全离线
• 使用硬件钱包隔离

✅ 行为层

• 避免访问未知 Web3 / 空投页面
• 不在手机存储助记词截图

🧩 六、总结：一次真正的“范式转移”

DarkSword 的意义不只是一个漏洞链，而是三个趋势的叠加：

👉 iOS exploit 首次被“工程化复用”👉 攻击从情报收集 → 金融变现👉 crypto 用户成为最高价值目标

如果过去 iOS 攻击是“定点狙击”，那这一次已经演变为：

👉 自动化资产收割系统 ⚔️

如果你对Web3安全感兴趣，后续我可以继续分享：

• 真实钱包（如 MetaMask iOS）被窃取的具体文件路径级分析
• 或完整 exploit chain 的调用栈级还原（接近 PoC 级别）

ChainSafeAI(链熵科技)专注于区块链生态安全，以“数据驱动 +  技术赋能”构建360°全方位安全防护体系，服务于交易所、金融机构、OTC服务商及加密资产投资者。

公司提供覆盖KYT风险监测、智能合约审计、加密资产追踪、区块链漏洞测试等在内的全维度安全与合规技术解决方案，助力客户防范洗钱、诈骗等风险，保障业务合规运行。

通过实时风险预警、合规审查与资金溯源分析，协助客户识别链上异常行为、防范洗钱及诈骗风险、降低被盗损失并提升资产追回可能性。

联系我们

WhatsApp

电话：+85268824033

官网：www.chainsafeai.com

地址：香港九龙尖沙咀柯士甸路7-9号焕利商业大厦7楼63室