新型iOS漏洞利用工具DarkSword曝光：6大漏洞组合攻击全球数亿iPhone

近日，Lookout威胁实验室联合谷歌与iVerify共同披露了一款名为DarkSword的新型iOS漏洞利用工具包。根据报告，该工具包自2025年底以来已被多个威胁组织广泛滥用，攻击范围横跨沙特阿拉伯、土耳其、马来西亚、乌克兰等多个国家，对数亿iOS设备构成了严重的安全威胁。

更令人担忧的是，DarkSword具备了所谓的“零点击”攻击能力。这意味着用户无需进行任何点击、下载或授权操作，仅仅是在Safari浏览器中打开了攻击者精心构造的恶意网页，设备就可能被该工具包在后台静默接管。随后，攻击者便可以窃取设备内的各类敏感数据。整个攻击过程行云流水，完成数据窃取后，工具包还会快速清除自身痕迹，极大地增加了安全检测的难度。

一、攻击目标范围

DarkSword工具包并非无差别攻击，其主要针对运行iOS 18.4至iOS 18.7版本区间的iPhone设备。据统计，全球仍有约四分之一的iPhone设备处于这个版本区间，它们都成为了DarkSword的重点攻击目标。

通过溯源分析，安全研究人员发现，疑似与俄罗斯有关联的威胁组织UNC6353已经将DarkSword用于针对乌克兰的定向攻击。此外，一些商业监控供应商以及疑似得到国家支持的黑客团队，也都在利用这个强大的工具包发动针对不同地域的精确打击。

二、漏洞构成与攻击链解析

DarkSword的核心威胁，源于它将6个独立的系统漏洞串联成了一条完整的攻击链。这条链从浏览器沙箱逃逸开始，一直延伸到内核提权，最终能够实现对iOS设备的完全控制。

值得注意的是，这6个漏洞中有3个是当时未被公开的“0day”漏洞（即苹果官方尚未发现和修复的漏洞），其安全风险等级极高。

以下是构成DarkSword攻击链的具体漏洞详情：

• CVE-2025-31277: JavaScriptCore内存损坏漏洞，CVSS评分为8.8分，属于高危漏洞。
• CVE-2026-20700: dyld的PAC（指针认证码）绕过漏洞，这是一个0day漏洞，CVSS评分为8.6分，属于高危漏洞。
• CVE-2025-43529: JavaScriptCore内存损坏漏洞，这是一个0day漏洞，CVSS评分为8.8分，属于高危漏洞。
• CVE-2025-14174: ANGLE（Chrome和Safari等浏览器使用的图形库）内存损坏漏洞，这是一个0day漏洞，CVSS评分为8.8分，属于高危漏洞。
• CVE-2025-43510: iOS内核内存问题，CVSS评分为8.6分，属于高危漏洞。
• CVE-2025-43520: iOS内核内存损坏漏洞，CVSS评分为8.6分，属于高危漏洞。

攻击者通过组合利用上述漏洞，可以轻松突破iOS系统的层层安全防护，实现对目标设备的静默接管。整个攻击触发过程完全不需要用户的任何交互操作。

三、攻击模式特征

与那些追求长期潜伏的传统间谍软件不同，DarkSword采用的是一种“打了就跑”的短时、高烈度攻击模式。它的核心特征非常鲜明：

1. 隐蔽性极强: 全程攻击流程都通过JavaScript实现，不会在设备上安装任何二进制木马文件，也不会向磁盘写入持久化文件。这使得依赖文件特征检测的传统安全工具很难发现它的踪迹。
2. 攻击速度极快: 从数据采集到外传，整个过程可能仅需数秒到数分钟。其在设备上的驻留时间极短，进一步降低了被发现的风险。
3. 痕迹可清除: 完成数据窃取任务后，DarkSword会自动删除攻击过程中产生的所有临时文件，并退出相关进程。即使受害者重启设备，也很难找到明显的攻击痕迹，但数据泄露的事实已经无法挽回。
4. 目标极其精准: 攻击载荷通过恶意iframe加载脚本，会首先对设备进行指纹识别。只有当设备确认为iOS 18.4至18.7版本时，才会发动后续攻击，从而显著提升了攻击的成功率与效率。

安全研究还指出，DarkSword工具包会重点“光顾”MetaMask、Phantom等主流加密货币钱包应用。同时，它也会窃取iMessage聊天记录、手机相册照片、健康数据以及钥匙串中的密码等高度敏感的个人信息。这表明，发起攻击的幕后组织同时抱有情报窃取与经济牟利的双重目的。

四、漏洞利用链黑市化趋势

DarkSword的曝光，揭示了当前移动安全领域一个严峻的趋势：高级别的iOS漏洞利用链已经形成了成熟的地下二级市场。这使得许多自身技术能力不足的攻击者，也能通过购买现成的工具包，获得高精度的攻击能力。

在过去，能够独立挖掘并串联多个iOS漏洞、构建完整攻击链的能力，仅为全球少数顶尖的黑客组织所掌握。而如今，通过地下市场的交易，各种类型的威胁组织——无论是出于政治目的、商业监控还是纯粹的犯罪牟利——都可以轻易获取到像DarkSword这样的“武器”。来自谷歌GTIG（威胁情报组）的专家证实，自2025年11月以来，已观察到包括UNC6353、商业监控供应商及网络犯罪集团在内的多个组织在活跃使用DarkSword。这清楚地表明，高价值的漏洞利用技术正在不同地域、不同动机的威胁组织之间快速扩散和下沉。

五、安全防护方案

万幸的是，苹果公司已经在最新的iOS 26.3版本更新中，全面修复并封堵了DarkSword所利用的这6个漏洞。因此，对于广大iPhone用户来说，目前最有效的防护措施非常明确：

• 及时升级系统: 这是防范此类漏洞攻击最根本、最有效的手段。请立即打开设备的【设置】→【通用】→【软件更新】，将系统升级至iOS 26.3或更高版本。
• 安装安全补丁: 对于因设备型号限制等原因暂时无法升级到最新系统版本的设备，务必及时安装苹果官方推送的所有安全补丁。作为临时缓解措施，可以考虑在【设置】→【Safari】中关闭JavaScript功能，这可以阻断大部分基于浏览器的攻击，但会影响部分网页的正常浏览体验。
• 强化日常防护意识: 时刻保持警惕，避免访问不明来源的网站，不要轻易点击社交软件、邮件或短信中的陌生链接（尤其是经过缩短的短链接）。定期重启设备虽然可以在一定程度上清除潜在的临时感染痕迹，但请注意，这无法挽回已经泄露出去的数据。

六、总结

DarkSword漏洞利用工具包的出现，不仅是单个安全事件，更是iOS高级漏洞攻击工具走向“黑市化”和“武器化”的一个危险信号。它凸显了在漏洞交易日益泛滥的背景下，移动设备安全防护的极端紧迫性。对于普通用户而言，面临的无感知入侵风险正在持续上升。养成及时更新系统、强化日常安全防护意识的习惯，是保障个人隐私与数字资产安全最关键的一道防线。

技术安全领域的攻防对抗从未停止，像云栈社区这样的开发者社区，也持续关注并提供最新的安全资讯与技术解析，帮助开发者和技术爱好者们更好地理解威胁、构建更安全的系统。