一、背景
2026年3月18日,多家安全研究公司披露,iOS 18.4至18.7版本存在重大漏洞风险。一款名为DarkSword的黑客工具能够利用该漏洞远程操控受影响的苹果设备,可能导致用户财产损失等严重后果。随后,国家网络安全威胁和漏洞信息共享平台(NVDB)也紧急发布了风险提示,且iOS 13.0 至 17.2.1等旧版本也存在漏洞风险。
若您的苹果设备仍在使用上述旧版本系统,请尽快升级至最新的iOS 26版本。
以下为同步解析本次事件所涉及的工具及其漏洞原理。
二、DarkSword工具介绍
DarkSword 是一款极其先进且极具破坏性的黑客软件,本质上是基于 JavaScript 编写的一键式攻击框架,自动化程度极高,且操作门槛很低。
它通过串联包括 CVE-2025-43520 在内的六个零日漏洞,能够从 Safari 远程代码执行一路攻破到内核权限提升,实现全链条利用。攻击者只需诱导用户加载一个被感染的合法网页,即可实现“零点击”静默入侵——用户完全无感知。
一旦中招,工具能在极短时间内提取密码、iMessage、聊天记录、健康数据甚至加密货币等敏感信息。
目前,该工具的源代码已在GitHub平台开源,有兴趣的可以自行查看。
三、漏洞利用链分析
DarkSword 的攻击流程是一条完整的“攻击链”,从用户仅访问一个恶意网页开始,到攻击者完全控制设备结束。整个链条分为五个关键环节:
1. 漏洞利用交付(不同黑客组织的“入口”策略)
三个黑客组织(UNC6748、PARS Defense、UNC6353)都基于 DarkSword 的核心逻辑,但各自调整了“如何把恶意代码送到受害者设备上”的方式:
①UNC6748最谨慎:设置并检查访客标识(uid),确认目标后才加载攻击代码,只使用top.location.href进行页面跳转,避免误伤。②PARS Defense更激进:早期活动没有访客检查,后期加入;同时用top.location.href和window.location.href双重跳转,确保重定向成功。③UNC6353最随意:只设置标识,不检查,注释里甚至写着“不知道后面用不用”——可能对更多用户盲目发起攻击。此外,PARS Defense 和 UNC6748 还自己添加了指纹识别(筛选目标)和反调试(防止被安全分析)等额外逻辑。
2. 装载机(统一的攻击引擎)
所有攻击都使用了一个相同的漏洞利用加载器,只有细微差别(如 PARS Defense 加了加密)。这个加载器负责:
①管理两个远程代码执行(RCE)漏洞所需的工作线程(Web Worker)。加载器会获取两个关键文件:rce_module.js和rce_worker.js(后者会根据 iOS 版本命名,如rce_worker_18.4.js)。不同 iOS 版本的分工不同:
①iOS 18.4:逻辑拆分到两个脚本中,通过消息通信。②iOS 18.6/18.7:所有攻击逻辑都塞进worker脚本,module文件基本是个空壳(只留了一个无用的占位函数)。3. 远程代码执行(RCE)漏洞利用
DarkSword 利用了苹果 JavaScript 引擎(JavaScriptCore)中的两个不同漏洞,分别针对不同系统版本:
①iOS 18.6 之前:利用CVE-2025-31277,这是一个 JIT 优化时的类型混淆漏洞。(苹果已在 iOS 18.6 中修复)②iOS 18.6 至 18.7:利用CVE-2025-43529,这是一个垃圾回收机制漏洞。(苹果在收到报告后,已在 iOS 18.7.3 和 26.2 中修复)两种方式虽然漏洞不同,但攻击手法类似:先通过漏洞制造“读/写内存”的能力,进而操控设备。此外,攻击还需要一个关键漏洞CVE-2026-20700,用于绕过苹果的指针认证码(PAC),否则无法执行任意代码。(该漏洞已在 iOS 26.3 中修复)
4. 沙盒逃逸(两层突破)
Safari 采用多层沙箱隔离,DarkSword 需要连续突破两层:
利用CVE-2025-14174,这是一个 ANGLE 组件(处理 WebGL 图形)中的漏洞,攻击者通过特定的 WebGL 操作触发 GPU 进程中的越界内存操作,从而在 GPU 进程中执行任意代码。(该漏洞在 iOS 18.7.3 和 26.2 中修复)利用CVE-2025-43510,这是 XNU 内核中的一个写时复制(copy-on-write)漏洞,攻击者利用它在一个更高权限的系统服务(mediaplaybackd)中构建任意函数调用,最终将 JavaScriptCore 运行时加载到该进程中,继续执行后续攻击。(该漏洞在 iOS 18.7.2 和 26.1 中修复)5. 本地权限提升与最终载荷
最后,攻击者加载pe_main.js,利用CVE-2025-43520,这是 XNU 虚拟文件系统(VFS)中的一个内核竞争条件漏洞。通过该漏洞,攻击者获得对物理内存和虚拟内存的读写能力,从而完全控制设备。(苹果已在 iOS 18.7.2 和 26.1 中修复)
最终载荷包含一组库类,提供底层内存操作和文件系统访问功能(如Native、FileUtils)。
四、影响范围
本次漏洞影响范围广泛。在系统版本方面,DarkSword 主要针对运行iOS 18.4 至 18.7版本的设备,Coruna 漏洞则影响运行iOS 13.0 至 17.2.1的旧版本设备。在设备数量方面,结合全球 iOS 版本市场份额数据测算,该漏洞链直接影响全球约14.2%的 iPhone 用户,对应设备规模约2.2152 亿台;若将范围扩大至 iOS 18 全系列未修复版本,潜在受影响用户占比达17.3%,对应设备规模约2.7 亿台。在地域分布方面,已观测到攻击活动覆盖沙特阿拉伯、土耳其、马来西亚、乌克兰等多个国家和地区,多个疑似有国家背景的黑客组织(如 UNC6353、TA446)及商业监控厂商(如 PARS Defense)均被证实使用该工具包实施攻击。五、排查与做法
(一)系统版本自查
受影响设备主要集中在运行 iOS 13.0 至 17.2.1 以及 iOS 18.4 至 18.7 版本的 iPhone 和 iPad 设备。用户可通过以下路径检查当前系统版本:设置 → 通用 → 关于本机 → iOS 版本:
①若版本低于 iOS 18.7.7(旧款设备)且无法升级至 iOS 26,应优先更新至 iOS 18.7.3 或更高版本;②若版本低于 iOS 26.3,建议直接升级至 iOS 26.3 或更高版本;③若设备无法立即更新,可开启“锁定模式”(Lockdown Mode)作为临时缓解措施,该模式可有效阻断 DarkSword 漏洞利用。(二)可疑行为排查
由于 DarkSword 会窃取 iCloud 凭证、钥匙串数据、通信记录和加密货币钱包信息等敏感数据,用户可通过以下指标判断设备是否已受感染:
①电量异常:若设备在闲置状态下电池消耗明显加快或出现异常发热,可能存在恶意后台进程在运行数据窃取任务。②流量异常:在设置 → 蜂窝网络或 Wi-Fi 中检查近期流量使用情况,若出现不明原因的大流量上传峰值,可能是数据被窃取。③应用隐私报告:通过设置 → 隐私与安全性 → App隐私报告查看哪些应用访问了位置、麦克风、相机等敏感权限,关注未知域名的网络连接记录。④已登录设备检查:打开设置 → 个人账户 → 查看已登录的 Apple ID 设备列表,排查是否存在陌生设备。https://cloud.google.com/blog/topics/threat-intelligence/darksword-ios-exploit-chain
