Google威胁情报小组(GTIG)日前发布深度安全分析报告,披露名为DarkSword的新型iOS全链路漏洞利用工具,该工具自2025年11月起已经被多个商业间谍软件开发商和疑似国家级黑客团队利用。
DarkSword漏洞的危害在于,在受影响的iOS系统上(即未安装苹果最新发布的安全更新),无需用户进行任何交互操作即可接管整个iOS系统,因此具有极高的威胁性。
根据观测和分析数据,DarkSword已针对沙特阿拉伯、土耳其、马来西亚和乌克兰等国的多个目标发起攻击,与Google此前曝光的CorunaiOS漏洞套件形成相似的工具扩散模式。
漏洞链核心技术细节:
DarkSword属于纯JavaScript实现的零点击全链路漏洞利用,支持iOS18.4~iOS18.7,其特点在于无需绕过iOSPPL或SPTM安全机制即可实现从网页到内核权限的全流程攻击。
也就是说攻击者只需要诱导用户访问特定钓鱼网站(例如通过钓鱼邮件甚至直接在搜索引擎上投放针对性的广告),那就可以直接接管iOS设备并实现实时监控和数据窃取。
整个利用链共使用6个安全漏洞:
阶段1:初始访问与远程代码执行,利用CVE-2025-31277/43529
阶段2:沙箱逃逸,利用CVE-2025-14174/43510
阶段3:内核权限提升,利用CVE-2025-43520
阶段4:部署三种不同的恶意软件家族,功能包括实时监控、窃取数据、清除日志等等
已经被发现的野外攻击:
UNC6748:该商业间谍软件开发商从2025年11月起针对沙特阿拉伯的目标用户发起攻击。
PARSDefense:该商业间谍软件从2025年11月起对土耳其和马来西亚的目标用户发起攻击。
UNC6353:疑似是俄罗斯间谍组织,从2025年12月起针对乌克兰等国家的目标用户发起攻击。
漏洞已经修复:
苹果已经通过多次安全更新修复这些安全漏洞,在已经安装iOS最新版以及安装最新安全更新的情况下,DarkSword无法继续利用漏洞发起攻击,所以对用户而言最重要的就是开启自动更新并及时安装更新。
另外苹果也建议对于追求更高安全性的用户,可以尝试开启高级安全保护,该模式开启后会限制Safari加载JavaScript,这可以显著提升安全性,但也会给日常使用造成不方便。
相关文章
头条焦点
精彩导读
关注我们
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】