Google威胁情报小组曝光DarkSword漏洞 用于监控iOS设备和窃取各类敏感资料

DarkSword 漏洞的危害在于，在受影响的 iOS 系统上 (即未安装苹果最新发布的安全更新)，无需用户进行任何交互操作即可接管整个 iOS 系统，因此具有极高的威胁性。

根据观测和分析数据，DarkSword 已针对沙特阿拉伯、土耳其、马来西亚和乌克兰等国的多个目标发起攻击，与Google此前曝光的 Coruna iOS 漏洞套件形成相似的工具扩散模式。

漏洞链核心技术细节：

DarkSword 属于纯 JavaScript 实现的零点击全链路漏洞利用，支持 iOS 18.4~iOS 18.7，其特点在于无需绕过 iOS PPL 或 SPTM 安全机制即可实现从网页到内核权限的全流程攻击。

也就是说攻击者只需要诱导用户访问特定钓鱼网站 (例如通过钓鱼邮件甚至直接在搜索引擎上投放针对性的广告)，那就可以直接接管 iOS 设备并实现实时监控和数据窃取。

整个利用链共使用 6 个安全漏洞：

阶段 1：初始访问与远程代码执行，利用 CVE-2025-31277/43529

阶段 2：沙箱逃逸，利用 CVE-2025-14174/43510

阶段 3：内核权限提升，利用 CVE-2025-43520

阶段 4：部署三种不同的恶意软件家族，功能包括实时监控、窃取数据、清除日志等等

已经被发现的野外攻击：

UNC6748：该商业间谍软件开发商从 2025 年 11 月起针对沙特阿拉伯的目标用户发起攻击。

PARS Defense：该商业间谍软件从 2025 年 11 月起对土耳其和马来西亚的目标用户发起攻击。

UNC6353：疑似是俄罗斯间谍组织，从 2025 年 12 月起针对乌克兰等国家的目标用户发起攻击。

漏洞已经修复：

苹果已经通过多次安全更新修复这些安全漏洞，在已经安装 iOS 最新版以及安装最新安全更新的情况下，DarkSword 无法继续利用漏洞发起攻击，所以对用户而言最重要的就是开启自动更新并及时安装更新。

另外苹果也建议对于追求更高安全性的用户，可以尝试开启高级安全保护，该模式开启后会限制 Safari 加载 JavaScript，这可以显著提升安全性，但也会给日常使用造成不方便。