Photo by Tyler Lastovich on Unsplash

Google、Lookout与iVerify于周三（3月18日）公布了一个名为DarkSword的iOS漏洞攻击链，该攻击针对iPhone用户，可在短时间内窃取包括加密钱包在内的大量敏感数据。与以往多数针对iPhone的攻击以监控和情报收集为主不同，DarkSword不仅具备完整的间谍功能，还明确针对加密资产，表明移动设备攻击正从单纯的监控转向以金钱为导向的变现动机。

DarkSword攻击链自2025年11月起即被Google监测到，并持续出现在多个攻击活动中；Lookout在后续分析恶意基础设施时还原出完整的攻击链条，并与Google及iVerify共同确认该威胁，命名为DarkSword。

根据Google威胁情报团队（GTIG）的分析，DarkSword并非单一漏洞，而是由六个安全漏洞串联而成的完整攻击链。攻击首先利用Safari中的JavaScriptCore漏洞CVE-2025-31277与CVE-2025-43529获取远程代码执行权限，随后通过dyld中的CVE-2026-20700绕过指针认证码（PAC）内存保护机制，为后续权限提升铺路。

在突破初始防护后，攻击链进一步利用CVE-2025-14174从Safari的WebContent进程横向移动至GPU进程，再通过CVE-2025-43510进一步进入权限更高的系统服务mediaplaybackd，完成沙盒逃逸。最后利用内核漏洞CVE-2025-43520获取内核层级的读写权限，实现对设备的全面控制。整体而言，这六个漏洞分别对应远程代码执行、防护绕过、沙盒逃逸与内核权限提升等不同阶段，影响范围涵盖iOS 18.4至18.6.2版本。

其中，仅CVE-2026-20700在攻击发生时仍属零日漏洞，其余漏洞多为已知弱点，但被黑客串联使用，形成完整的入侵链条。苹果已于今年2月发布的安全更新中修复了相关漏洞。

DarkSword主要通过“水坑攻击”（Watering Hole Attack）感染设备。黑客会先入侵合法网站（如新闻网站或政府网站），在页面中植入恶意iframe。当用户使用iPhone的Safari浏览器访问这些网站时，设备会在无需任何用户操作的情况下自动加载恶意代码，从而触发漏洞攻击链，完成入侵。

在成功获取系统权限后，DarkSword会加载后续的数据窃取模块，从多个系统服务与应用程序中收集敏感信息。Lookout指出，该工具可访问包括短信与即时通讯记录、通讯录、通话记录、电子邮件、照片、iCloud数据、浏览历史、Wi-Fi设置与密码等内容，甚至涵盖设备位置、健康数据与已保存的账户密码，几乎可完整还原用户的数字活动。

值得注意的是，DarkSword明确针对加密资产，能够截取多种主流交易所与钱包应用中的数据，包括Coinbase、Binance、Kraken、MetaMask等服务。Lookout指出，该攻击在完成数据收集后，会在数秒至数分钟内将数据发送至远程服务器，并清除设备上的相关痕迹后结束执行，属于“快速渗透、快速撤离”的攻击模式，进一步提升了检测与取证难度。

总体而言，DarkSword表明移动设备攻击正出现结构性变化。过去高端iOS漏洞多用于针对特定目标的监控与情报收集，而此次攻击同时结合了间谍功能与加密资产窃取，显示黑客已开始将手机视为可直接变现的资产入口。

研究人员还发现，DarkSword并非由单一黑客使用，而是已被多个威胁行为者采用。这反映出原本主要用于高端监控的iOS漏洞攻击工具，已开始出现跨组织流通与重复利用的情况。随着高级攻击能力逐渐扩散，移动设备面临的安全风险也随之升高。

由于该攻击属于短暂且无感知的入侵，普通用户难以察觉是否已被感染，研究人员建议用户尽快将iOS更新至最新版本，以修补已知漏洞，降低被攻击的风险。