最近梳理了不少新曝光的漏洞信息,趁着晚上有空把手上设备的系统都升级了一遍,顺便整理成这篇报告存档记录。
2025年到2026年期间,iOS系统经历了一场前所未有的安全风暴。从iOS 18系列层出不穷的零日漏洞,到后来被重新命名为iOS 26的版本中暴露出的底层架构缺陷,苹果构筑的“安全堡垒”受到了严峻挑战。本文将系统梳理这一关键时期发生的重大安全事件、技术原理以及演化趋势。
一、2026年:底层架构危机
1.1 CVE-2026-20700:dyld“永恒漏洞”(2026年2月)
| 项目 |
详情 |
| 公开时间 |
2026年2月12日 |
| CVSS评分 |
9.8(严重) |
| 影响范围 |
所有iOS设备(2007年第一代iPhone至2024年iPhone 16) |
| 影响版本 |
iOS 1.0至iOS 26.2(整整19年) |
| 漏洞组件 |
dyld(动态链接编辑器) |
| 漏洞类型 |
内存破坏(Memory Corruption) |
技术原理:
dyld是iOS最核心的系统组件之一,负责在应用程序启动时加载和链接动态库。该漏洞植根于dyld的状态管理机制中,攻击者利用特定的内存写入能力可以破坏dyld的内部状态,从而在应用启动的瞬间劫持控制流。最关键的是,这一切发生在代码签名验证、应用沙箱、ASLR(地址空间布局随机化)等核心安全机制完全初始化之前,使得攻击者能够执行任意恶意代码。
攻击链组合:
这个漏洞并非孤立存在,它与2025年12月修复的两个WebKit零日漏洞共同构成了一个完整的攻击链条:
- CVE-2025-43529:WebKit JavaScriptCore引擎JIT层的漏洞,用于在Safari中实现远程代码执行。
- CVE-2025-14174:ANGLE图形渲染器的越界内存访问漏洞,用于实现权限提升。
- CVE-2026-20700:本文主角dyld的内存破坏漏洞,用于实现攻击的持久化以及对系统的完全控制。
实际危害:
Google威胁分析小组(TAG)证实,该漏洞已被用于针对特定高价值个人的“极其复杂的攻击”。整个攻击过程完全隐形,设备上不会安装新的App,也不会出现异常图标,恶意载荷可以长期潜伏数周甚至数年而不被发现。
修复版本:iOS 26.3、iPadOS 26.3、macOS Tahoe 26.3。
1.2 CVE-2026-20643:WebKit跨域漏洞(2026年3月)
| 项目 |
详情 |
| 公开时间 |
2026年3月18日 |
| 漏洞类型 |
跨域问题(Navigation API Cross-Origin Issue) |
| 影响版本 |
iOS 26.3.1、iPadOS 26.3.1、macOS 26.3.1/26.3.2 |
| 特殊意义 |
苹果首个“后台安全改进”(Background Security Updates)补丁 |
技术特点:
该漏洞存在于WebKit的导航API中,攻击者可以通过精心构造的恶意网页内容,绕过至关重要的同源策略(Same-Origin Policy),从而威胁用户数据的安全。此次修复的特殊之处在于,苹果首次采用了“后台安全改进”这一新机制来推送补丁,用户无需下载和安装完整的系统更新即可完成修复。
修复方式:
修复通过一个轻量级补丁(iOS 26.3.1 (a))完成。用户可以在“设置 → 隐私与安全 → 安全性”中管理此功能。这是苹果在iOS 26系列中引入的新安全机制,类似于iOS 16时代的“快速安全响应”,但自动化程度更高,更倾向于在后台静默完成。
1.3 DarkSword漏洞利用工具包(2026年3月公开)
| 项目 |
详情 |
| 发现时间 |
2025年11月首次监测,2026年3月详细公开 |
| 影响版本 |
iOS 18.4 – 18.7(约2.7亿台设备) |
| 攻击方式 |
水坑攻击(Watering Hole),攻陷合法网站 |
| 构建语言 |
纯JavaScript(无传统二进制Mach-O库) |
技术架构:
DarkSword是安全研究人员发现的首个完全基于JavaScript构建的iOS漏洞利用框架。它包含了一个由六个漏洞构成的完整攻击链条:
| 漏洞编号 |
影响版本 |
作用 |
修复时间 |
| CVE-2025-31277 |
iOS 18.4-18.5 |
JavaScriptCore JIT正则表达式类型混淆,实现初始RCE |
2025年7月(iOS 18.6) |
| CVE-2025-43529 |
iOS 18.6-18.6.2 |
JavaScriptCore DFG JIT写屏障缺失,实现RCE |
2025年12月(iOS 18.7.3) |
| CVE-2026-20700 |
iOS 18.6-18.7 |
TPRO与PAC绕过,实现任意代码执行 |
2026年2月(iOS 26.3) |
| CVE-2025-43510 |
iOS 18.6-18.7 |
内核相关漏洞 |
2025年12月(iOS 18.7.2) |
| CVE-2025-43520 |
iOS 18.6-18.7 |
内核相关漏洞 |
2025年12月(iOS 18.7.2) |
| CVE-2025-14174 |
iOS 18.x |
ANGLE Metal渲染器越界内存访问 |
2025年12月 |
攻击流程:
- 受害者访问已被攻击者攻陷的合法网站(例如某些政府门户或仿冒的社交媒体钓鱼站点)。
- 网页中的漏洞加载器会自动检测设备的iOS版本,并加载对应的漏洞利用模块。
- 首先通过JavaScriptCore的JIT漏洞,在Safari的WebContent进程中实现远程代码执行。
- 随后利用内核漏洞逃逸出应用沙箱并获取更高权限。
- 最终植入不同层级的恶意载荷,实现设备数据的全量窃取与远程控制。
威胁组织:
- UNC6353:疑似具有俄罗斯背景,主要针对乌克兰目标。
- UNC6748:针对沙特阿拉伯目标。
- PARS Defense:一家土耳其商业监控软件厂商,其攻击活动后来还扩展到了马来西亚。
受影响规模:
该工具包直接影响了全球约14.2%的iPhone用户(约2.2亿台设备)。如果考虑到iOS 18全系列中未及时修复的版本,潜在受影响用户比例可能高达17.3%,涉及近2.7亿台设备。
1.4 iOS 18紧急安全更新(2026年4月)
| 项目 |
详情 |
| 发布时间 |
2026年4月3日 |
| 目标系统 |
iOS 18(为不适应iOS 26 Liquid Glass新界面的用户) |
| 修复漏洞 |
DarkSword工具包利用的相关漏洞 |
| 特殊背景 |
部分用户因不适应iOS 26的视觉风格而停留在iOS 18 |
在发布了针对新系统iOS 26.3的修复后,苹果并未忘记旧版本用户。他们继续为庞大的iOS 18用户群体推送了紧急安全补丁,专门修复被DarkSword工具包利用的远程接管漏洞。这也成为苹果在近一个月内,第二次为旧版操作系统提供关键安全修复,凸显了威胁的广泛性和紧迫性。
二、2025年:零日漏洞爆发年
2025年,苹果全年共计修复了9个已被在野外真实利用的零日漏洞,数量为近年之最。
2.1 2025年漏洞时间线
| 时间 |
漏洞编号 |
影响组件 |
攻击类型 |
修复版本 |
| 2025年3月 |
CVE-2025-24085 |
Core Media |
权限提升 |
iOS 17.4 |
| 2025年3月 |
CVE-2025-24200 |
USB限制模式 |
物理绕过 |
iOS 18.3.1 |
| 2025年3月 |
CVE-2025-24201 |
WebKit |
远程代码执行 |
iOS 18.3.1 |
| 2025年4月 |
CVE-2025-31200 |
CoreAudio |
内存破坏 |
iOS 18.4.1 |
| 2025年4月 |
CVE-2025-31201 |
AppleBCMWLAN |
指针认证绕过 |
iOS 18.4.1 |
| 2025年7月 |
CVE-2025-31277 |
JavaScriptCore |
JIT RCE |
iOS 18.6 |
| 2025年8月 |
CVE-2025-43300 |
ImageIO |
越界写入 |
iOS 18.6.2 |
| 2025年12月 |
CVE-2025-43529 |
WebKit |
Use-After-Free |
iOS 18.7.3 |
| 2025年12月 |
CVE-2025-14174 |
ANGLE |
越界内存访问 |
iOS 18.7.3 |
2.2 重点漏洞详解
CVE-2025-43300(ImageIO“幽灵图片”)
- 发现时间:2025年8月
- CVSS评分:8.8
- 攻击方式:通过即时通讯软件发送特制的恶意DNG格式图片,实现零点击远程代码执行。
- 实际受害:已确认有欧洲和中东地区的记者、公民社会组织人员遭受此漏洞攻击。
CVE-2025-24200(USB限制模式绕过)
- 发现者:多伦多大学公民实验室(Citizen Lab)
- 危害:允许物理接触设备的人员禁用USB限制模式,从而能够使用GrayKey等取证设备对锁屏密码进行暴力破解。
- 背景:USB限制模式是自iOS 11.4.1起引入的一项关键反取证安全机制。
CVE-2025-31201(Secure Enclave绕过)
- 特殊危害:可被滥用以操控安全隔离区(Secure Enclave)中的密钥,从而绕过iOS整个加密信任模型,实现设备冒充。
- 技术突破:这是首次被公开确认的、能够成功攻击苹果最安全的硬件隔离区域的漏洞之一。
三、攻击趋势演变(2025-2026)
3.1 攻击技术升级
| 维度 |
2025年特征 |
2026年特征 |
| 攻击入口 |
iMessage、FaceTime等系统应用 |
水坑攻击,攻陷合法网站 |
| 利用语言 |
传统二进制漏洞利用 |
纯JavaScript构建的完整攻击链 |
| 持久化方式 |
依赖系统服务或文件系统漏洞 |
利用dyld底层机制,在启动时植入 |
| 隐蔽性 |
通常需要一定程度的用户交互 |
完全零点击、无新应用安装、无痕迹 |
3.2 威胁主体扩散
- 2025年:攻击者主要为NSO Group(飞马间谍软件)、Paragon Solutions等顶级商业监控软件厂商。
- 2026年:漏洞利用能力通过二级市场明显扩散:
- 国家背景的黑客组织(如疑似俄罗斯的UNC6353)。
- 地区性的商业监控厂商(如土耳其的PARS Defense)。
- 甚至开始流向一般的网络犯罪团伙。
3.3 影响范围扩大
- 2025年:攻击高度定向,主要针对记者、人权捍卫者、政府官员等高价值、高风险个人。
- 2026年:以DarkSword工具包为代表,潜在影响范围扩大到2.7亿台设备,呈现出无差别、规模化攻击的趋势。
四、苹果的应对策略演变
4.1 技术层面
| 时间 |
措施 |
效果 |
| 2025年3月 |
快速安全响应(RSR)机制 |
缩短了关键补丁的推送周期,但用户主动安装率仍然偏低 |
| 2025年8月 |
封闭模式(Lockdown Mode)增强 |
可有效阻挡约90%的高级定向攻击,但需要牺牲大量设备功能 |
| 2026年2月 |
dyld架构重构 |
彻底修复了存在19年的历史漏洞,但带来了潜在的旧应用兼容性风险 |
| 2026年3月 |
后台安全改进(Background Security Updates) |
无需完整系统更新即可静默修复Safari/WebKit相关漏洞,用户接受度高 |
4.2 漏洞赏金计划
- 2025年:将零点击内核漏洞的最高奖金提升至200万美元。
- 2026年:新增“攻击链完整性”奖励,对提交完整漏洞利用链的研究人员给予额外50%的奖金激励。
五、用户防护建议
5.1 立即执行(2026年4月)
所有用户:
- 立即更新系统:根据设备支持情况,升级至最新的iOS 26.3.2 或 iOS 18.7.5。
- 开启后台安全改进:前往“设置 → 隐私与安全 → 安全性”,确保“后台安全改进”功能已开启(iOS 26及以上版本)。
- 启用自动更新:在“设置 → 通用 → 软件更新”中,打开“自动更新”选项。
高风险人群(记者、人权工作者、政府官员等):
- 立即开启封闭模式:在“设置 → 隐私与安全”中开启“封闭模式”。这会严格限制部分功能,但能极大提升安全性。
- 使用专用设备:将涉及敏感工作内容的操作,放在已更新至iOS 26.3+的专用设备上,并与日常使用的手机物理隔离。
- 禁用iMessage附件自动处理:在“设置 → 信息”中,关闭“自动下载附件”功能。
- 谨慎访问网站:尽量避免访问非HTTPS的网站,尤其是来源不明的链接,因为DarkSword主要通过水坑攻击传播。
5.2 长期策略
- 设备更新周期评估:鉴于2026年发现了存在19年的历史漏洞,建议对2019年之前发布的设备(如iPhone 11及更早型号)进行安全风险评估。
- 备份策略:定期创建加密的本地备份(通过iTunes/Finder),避免完全依赖iCloud备份,以防云端密钥体系潜在风险。
- 网络隔离:在进行敏感操作时,尽量使用蜂窝移动网络,避免连接公共或不安全的Wi-Fi网络。
六、结语
2025年至2026年的iOS安全危机,标志着移动设备安全进入了一个全新的、更复杂的纪元。CVE-2026-20700“永恒漏洞”的存在,无情地证明了即便像苹果这样封闭且以安全著称的生态系统,其底层也可能隐藏着长达数十年的架构缺陷。
DarkSword这类纯JavaScript攻击工具包的出现,更清晰地表明:iOS的高级漏洞利用技术,正从少数“国家级武器”加速向“商业化工具”甚至“犯罪工具”扩散和演变。
对于广大用户而言,传统的“保持系统最新即安全”的认知已经被打破。现实是,即便是当时最新的iOS 26.3,在发布仅一个月后仍然需要紧急补丁来修复致命缺陷。
在数字生存时代,个人的安全意识必须与技术威胁同步进化。对于身处高风险环境的群体来说,启用“封闭模式”这类极端防护措施,或许将从临时选择变为一种常态化的生存策略。想要获取更多前沿、深度的技术安全分析,欢迎到云栈社区的对应板块与大家交流探讨。
数据来源:Apple Security Updates、Google Threat Analysis Group、Citizen Lab、CISA KEV Catalog、iVerify等公开安全报告。
发表于 前天 00:52
|
查看: 17|
回复: 0
