該漏洞被稱為 暗劍 這已成為近期影響 iPhone 的最嚴重的安全事件之一。來自 Google、iVerify 和 Lookout 的研究人員記錄了這一系列事件是如何發生的。 零點擊漏洞利用 它允許透過加載受感染的網頁來控制運行 iOS 18 的設備,而無需用戶按任何按鈕或打開可疑連結。
此案在歐洲網路安全界敲響了警鐘,因為 數億部iPhone 全球仍有部分用戶在使用有漏洞的 iOS 18 版本。儘管蘋果已經發布了修復程序和緊急補丁,但最新版本的普及速度低於預期,部分原因是人們對漏洞的修復效果有疑慮。 管理空間,它維持著一個 相當大的攻擊面 無論是在歐洲還是其他市場。
DarkSword究竟是什麼?為什麼它會引起如此大的關注?
DarkSword並非簡單的孤立缺陷,而是整體缺陷。 iOS 完整攻擊工具包 旨在無需用戶互動即可入侵 iPhone。技術分析表明,圍繞該工具鏈的 六個零日漏洞 從 Safari 瀏覽器直接進入作業系統內核,取得足夠的權限來存取裝置上的幾乎所有資訊。
最初的攻擊活動是在…中被發現的。 數十個合法的烏克蘭網站 這些頁面已被竄改。只需從受感染的 iPhone 存取其中一個頁面,就足以觸發後台的漏洞鏈。之後,DarkSword 可以讀取 iMessage、WhatsApp 和 Telegram 訊息,查看瀏覽歷史記錄、備忘錄、日曆事件,甚至存取 Apple 健康應用程式中的記錄。
最令研究人員擔憂的一點是,這次攻擊規模龐大,並非只針對知名目標。根據 iVerify 和 Lookout 收集的數據, 220億至270億部iPhone 他們繼續使用有漏洞的 iOS 18 版本,實際上這約佔活躍 iPhone 用戶的 14-25%。
此外,DarkSword 依賴一種後滲透模組架構——分析人員用諸如以下程式碼名稱來指稱這些模組: 幽靈之刃、幽靈刀或幽靈劍——他們負責在極短時間內收集和整理竊取的信息,這對於間諜活動來說尤其具有吸引力,而且 加密貨幣竊盜.
攻擊原理:從 Safari 到 iOS 核心
DarkSword 的運作原理是利用一系列相互關聯的安全漏洞。其主要入口點是… Safari瀏覽器 或任何用於渲染網頁內容的元件。當被入侵的頁面載入時,專門設計用於利用 JavaScript 引擎和其他瀏覽器元件漏洞的程式碼就會被執行。
一旦第一階段成功,攻擊就會深入到系統的更深層,利用其他漏洞,直到最終實現。 以提升的權限執行程式碼擁有這種等級的存取權限後,攻擊者可以讀取內部資料庫、提取密碼鑰匙圈、查看對話,甚至可以存取使用者自己的應用程式通常保護的檔案。
這種方法屬於以下類型 無文件換句話說,DarkSword 不會安裝任何可見的應用程式或持久性檔案。相反,它會劫持作業系統進程,從記憶體中執行惡意命令,並在幾分鐘內清除所有痕跡。這種「打了就跑」的行為使得偵測極為困難,即使是專業的偵測工具也難以發現,因為手機重新啟動後,幾乎不會留下任何入侵的痕跡。
這種操作方法讓人聯想到高級電腦攻擊中使用的經典技術,但它是針對蘋果生態系統進行調整的。事實上,研究人員強調: 未發現任何常見的駐留間諜軟體跡象。這大大改變了那些習慣在設備上尋找可疑應用程式的用戶的遊戲規則。
受影響的 iOS 版本和全球範圍
DarkSword 的第一批攻擊主要針對… 搭載 iOS 18 的 iPhone來自 Google、Lookout 和 iVerify 的報告一致指向以下版本: iOS 18.4和iOS 18.6.2 在已偵測到的攻擊活動中,iOS 系統受到的影響最為明顯。一些分析指出 iOS 18.7.2 對該漏洞進行了部分修復,而另一些分析則認為 iOS 26 及更高版本徹底修復了該漏洞。
總之,數據所描繪的畫面很清晰: 目前仍有大量裝置運行 iOS 18 系統。這要么是因為用戶尚未升級到最新版本,要么是因為他們不願接受介面變更。這種情況不僅影響衝突地區的用戶,也影響歐盟和西班牙數百萬每天使用iPhone進行網路銀行、數位身分識別或電子簽名的用戶。
研究人員至少從很久以前就記錄了暗劍的使用情況。 2025年末雖然最初的發現發生在烏克蘭境內,但針對[未指明]目標的活動很快就被發現。 沙烏地阿拉伯、土耳其和馬來西亞在這些案例中,漏洞利用程式被嵌入到合法網站(例如新聞入口網站或管理網站)中,利用這些網站的良好聲譽而不被發現。
在歐洲,風險雖然更為間接,但同樣不容忽視:任何造訪託管在歐洲境外的受感染網頁或透過國際網路連線的用戶,都可能最終下載惡意程式碼。此外,DarkSword 是一款可重複使用的工具包,這增加了它最終被整合到[此處內容不詳]其他系統的可能性。 更廣泛的網路犯罪活動其中包括旨在竊取歐洲公民使用的網路銀行帳戶和加密貨幣錢包的攻擊。
DarkSword的幕後黑手是誰?他們與Coruna之間又是什麼關係?
要理解 DarkSword 的影響,關鍵在於了解它的背景。本月初,Google和 iVerify 的同一團隊公開了另一個名為 DarkSword 的高級攻擊工具包。 拉科魯尼亞能夠透過 23 個連鎖漏洞入侵 iOS 13 至 iOS 17.2.1 的 iPhone。這兩個漏洞利用包都已出現。 在同一伺服器基礎架構上這表明存在共同的來源,或至少有幾個參與者之間的合作。
據信,這批武器庫中的部分內容源自政府級漏洞市場。先前的調查引用了國防承包商L3Harris旗下Trenchant部門的一名前成員的案例,該成員承認擁有… 向一名俄羅斯中間人出售了一系列漏洞。 這項行動被稱為「零號行動」。從那時起,剝削鏈條就從國家手中轉移到了那些肆無忌憚的犯罪集團手中。
就 DarkSword 而言,谷歌聲稱已觀察到其使用情況。 商業監控服務提供者 據稱,這些駭客與國家情報機構有關聯。其中一起攻擊行動特別涉及土耳其商業監控公司PARS Defense,該公司對土耳其和馬來西亞的多個地點發動了攻擊。
其中也存在與俄羅斯的關聯。部分程式碼已部署在… 被入侵的烏克蘭網站研究人員指出,一些與俄羅斯利益相關的操作人員涉嫌利用漏洞進行政治間諜活動並牟取經濟利益。最引人注目的是,DarkSword 程式碼出現在某些伺服器上。 語言簡潔明了,並附有英文解釋性評論。這使得其他惡意行為者更容易複製、改編並發動新的攻擊活動。
Coruna 和 DarkSword 幾乎同時發布,表明 iOS 入侵工具市場正在發生巨大變化。曾經用於針對特定目標的“狙擊武器”,如今正在轉變為… 大規模使用的武器庫其潛在影響範圍遠遠超出外交或軍事領域。
DarkSword 可以從 iPhone 中竊取哪些資訊?
技術報告一致認為,DarkSword 有能力擷取種類繁多的敏感資料。入侵完成後,後滲透模組即可存取這些資料。 儲存的密碼、身份驗證令牌和雲端服務憑證其中包括電子郵件帳戶、社交媒體和金融服務。
在通訊領域,該工具包已準備好用於收集 來自 iMessage、WhatsApp 和 Telegram 的訊息和日誌以及其他依賴相同內部資料庫的即時通訊應用。這使得重現過去的對話、獲取電話號碼以及與誰通話、通話頻率等元數據成為可能。
DarkSword 也針對設備的更私人的方面:照片、影片、 瀏覽歷史記錄、筆記、日曆和健康應用數據這不僅僅是一個抽象的隱私問題;在很多情況下,這些數據可以用來分析日常生活習慣、大致位置,甚至健康狀況等信息,這在嚴格的歐洲數據保護法規下尤其敏感。
優先目標是 加密貨幣錢包和其他數位資產該惡意軟體專門針對與錢包、交易平台和金融應用程式相關的憑證和金鑰。研究人員記錄了DarkSword業者利用詐騙加密貨幣網站竊取資金的行動,從而將間諜活動和金融犯罪結合起來。
所有這些都在相對較短的時間內完成。 「無檔案」設計使得攻擊能夠迅速展開,間諜軟體會在感染後的最初幾分鐘內盡可能多地收集信息,然後… 他清理掉了大部分腳印這樣就降低了用戶注意到手機行為異常的可能性。
防護措施:更新、隔離模式和最佳實踐
面對如此大規模的攻擊,主要的防禦措施,聽起來很簡單,就是: 保持您的 iPhone 更新蘋果公司已經分幾輪修復了這些底層漏洞:首先是針對 iOS 18 的特定安全更新,然後是 iOS 18.7.2 等補丁,最後是在最新的 iOS 26 系列中填補了這些漏洞。
實際上,對於西班牙或歐洲其他地區的任何用戶,建議是訪問 設置>常規>軟件更新 並確認設備運作的是其型號的最新版本。如果 iPhone 可以更新到 iOS 26,最好盡快更新。對於仍在運行 iOS 18 的設備,必須安裝 Apple 發布的所有安全性修補程式。
另一層相關的防禦措施是 封鎖模式這種模式最初是為高風險用戶(例如記者、活動人士和公職人員)設計的,已被證明能有效阻止或至少顯著阻礙像DarkSword和Coruna這樣的網路攻擊網路。事實上,有些工具包會在偵測到裝置處於這種模式時選擇中止入侵,以避免留下任何可能有助於調查的痕跡。
除了更新和高級功能之外,還有一些最佳實踐仍然有效。儘管在這次特定的活動中… 無需點擊陌生鏈接 為避免感染,建議僅訪問可信任網站,避免使用未加密的公共 Wi-Fi 網絡,並定期檢查系統隱私和安全設置,以限制接觸風險。
對於處理大量敏感資料或數位資產的使用者來說,依賴以下方式可能是合理的: 專用監控工具 例如行動安全領域公司提供的那些工具。它們並非萬能的解決方案——尤其是在面對如此隱藏的攻擊時——但它們可以幫助檢測異常行為或易受攻擊的配置。
DarkSword 的這款手機殼也提醒了許多歐洲 iPhone 用戶,出廠預設的安全措施並非萬無一失。 iOS 仍然是最強大的行動平台之一,但… 國家級威脅與高預算漏洞利用市場 它們正變得越來越複雜,因此需要格外謹慎,並認真對待安全更新。
