圈小蛙
3月19日,Google 安全团队(TAG)正式披露了一个影响数亿 iPhone 用户的顶级漏洞利用链——DarkSword。该利用链通过组合 6 个关键漏洞,实现了对 iOS 设备的高度控制。攻击始于 2025 年 11 月,波及 iOS 18.4 至 18.7 版本。目前,苹果已在最新的 iOS 26.3 中彻底封堵了相关路径。据报道,有俄罗斯政府背景的黑客组织正利用”Darksword“通过零点击或诱导手段窃取受害者照片、加密货币钱包及社交软件数据。
追溯 DarkSword:从 2025 年末开始的隐秘狩猎
根据 Google Cloud 威胁情报博客 的最新披露,这场针对 iPhone 用户的“降维打击”最早可以追溯到 2025 年 11 月。当时,研究人员监测到一些极具商业间谍软件特征的流量,经过数月的追踪,终于锁定了这套被称为 DarkSword 的攻击架构。
这不仅仅是一个简单的单一漏洞,而是一套极其精密的“组合拳”。攻击者通过六个漏洞的串联,绕过了 iOS 系统多层沙箱保护和内核防御机制,最终在受害者设备上获得了最高权限。这种级别的漏洞利用,在黑市上的身价通常都在数百万美元以上。
技术拆解:六弹齐发与三件套恶意载荷
根据 Google 披露的技术细节,DarkSword 的可怕之处在于其自动化程度和对内核的深度入侵。在攻击发生时,受害者几乎无感,设备会在后台静默完成权限提升。
一旦利用链成功打通,攻击者会分阶段部署三个核心恶意程序:
- GHOSTBLADE:负责初步的系统侦察和权限持久化,它像一把手术刀,精准切开系统的防御层。
- GHOSTKNIFE:专门用于数据拦截,重点针对社交软件的加密数据库和系统钥匙串(Keychains)。
- GHOSTSABER:这是最重头的载荷,它充当了远程控制木马(RAT)的角色,允许攻击者实时监控设备屏幕、开启麦克风,甚至劫持加密货币交易。
这些工具的命名规则高度一致,反映出背后开发者极强的组织性和工程化能力。
苹果紧急回应:请立即更新至 iOS 26.3
早在 2025 年底,Google 安全团队就已经将这些漏洞细节同步给了苹果公司。苹果随后展开了高强度的代码审计与修复工作。
根据 Apple 官方支持文档 (126604) 的更新记录,受影响的系统版本范围非常广,从 iOS 18.4 一直到 iOS 18.7 都处于危险之中。对于仍在使用这些旧版本的用户来说,你的设备在 DarkSword 面前几乎是透明的。
苹果在最新的 iOS 26.3 版本中,通过重构内存管理机制和加强内核沙箱验证,彻底封死了 DarkSword 的利用路径。如果你是 iPhone 用户,且尚未更新系统,建议立刻前往“设置 > 通用 > 软件更新”进行操作。在网络安全的世界里,防守永远落后于进攻一步,而及时安装补丁是我们普通用户最有效的一道防线。
这种由商业间谍软件驱动的顶级漏洞利用,再次证明了移动端安全没有绝对的“安全区”。即使是封闭如 iOS,在国家级或高商业利益驱动的攻击者面前,依然存在被击穿的风险。
本报道由 圈小蛙(qxwa.com) 科技资讯站特约撰稿。🐸️