俄黑客使用新型iPhone漏洞工具DarkSword 实现大规模手机入侵
研究人员于2026年3月19日联合披露,一种名为DarkSword的先进iPhone黑客技术已在野外被俄罗斯黑客使用,通过感染网站实现对大量iOS设备的无声入侵。该工具可针对运行iOS 18系统的数百 million iPhone用户,而截至上月,苹果官方数据显示仍有近四分之一iPhone用户使用该系统。
根据谷歌、网络安全公司iVerify和Lookout的联合调查,DarkSword能够通过合法乌克兰网站(包括新闻和政府机构站点)嵌入的恶意组件,对访问用户实施数据窃取。攻击范围包括密码、照片、iMessage、WhatsApp、Telegram日志、浏览器历史、日历、笔记以及Apple Health应用数据,甚至加密货币钱包凭证。
该工具采用“无文件”攻击方式,通过劫持iOS系统合法进程实现数据窃取,不留明显痕迹,且感染在重启后消失,属于“砸门抢夺”式攻击。与此前发现的Coruna工具不同,DarkSword主要针对iOS 18系统,包含两条不同漏洞链,适配该系统早期和晚期版本。
更令人担忧的是,俄罗斯黑客在部署DarkSword时,将完整代码(含英文注释和工具名称)公开在感染网站上,使其他黑客可轻易复用。iVerify联合创始人Matthias Frielingsdorf指出,任何人都可手动提取组件并部署在自有服务器上,操作极为简便。
苹果公司回应称,已发布安全更新,包括为无法升级至iOS 26的旧设备提供紧急补丁,并强调用户应保持系统更新,启用“锁定模式”可获得额外保护。谷歌方面未作进一步评论,PARS Defense公司未回应媒体询问。
调查还显示,DarkSword曾被用于攻击沙特阿拉伯、土耳其和马来西亚用户,其中土耳其和马来西亚目标关联安全公司PARS Defense的客户,表明该工具已扩散至多个黑客组织。研究人员推测,DarkSword可能由漏洞中介(如Operation Zero)出售,而非俄罗斯黑客自行开发。此前,Coruna工具被证实由美国承包商L3Harris子公司Trenchant开发,后被转售给俄罗斯黑客。
专家认为,此类工具的广泛流通标志着手机漏洞市场已黑市化,从定向攻击转向大规模滥用,普通用户面临更大风险。
安全建议
用户可通过“设置-通用-软件更新”检查并升级iOS系统。iVerify和Lookout的安全应用也可检测当前设备是否受DarkSword感染。
编辑点评
此次DarkSword漏洞工具的发现,标志着智能手机安全威胁模式发生根本性转变。过去,iOS系统因其封闭生态和强安全机制,被视为难以攻破的堡垒,且攻击多为高度定向、针对特定政治人物或记者的国家级间谍活动。而DarkSword通过感染网站大规模传播,表明攻击已从‘精准狙击’演变为‘广域扫射’,其影响范围远超传统安全边界。
这一转变背后,是漏洞黑市的成熟与规模化。以Operation Zero为代表的‘漏洞中介’机构,将原本由政府或高级黑客专属的攻击技术商品化、标准化,向多个买家兜售。这不仅降低了攻击门槛,也加剧了技术扩散风险。俄罗斯黑客使用DarkSword后公然暴露代码,反映出攻击者对‘技术可替代性’的自信,即一旦某工具被发现,可立刻更换下一工具,这种‘用完即弃’的策略,使得防御方陷入被动。
从全球安全格局看,此类事件凸显了数字主权与供应链安全的重要性。苹果虽为美国企业,但其全球用户覆盖中国、中东、东南亚等关键市场,一旦大规模数据泄露,可能引发多国对科技产品安全性的审查与政策调整。同时,漏洞中介的存在挑战了传统国家间安全壁垒,使黑客攻击呈现跨国、去中心化特征,为国际网络安全合作提出新课题。
未来,科技企业需在系统设计中进一步加强‘零信任’原则,用户则必须养成及时更新系统的习惯。监管机构也应加强对漏洞交易市场的监控,防止敏感技术落入非国家行为体之手。此次事件是全球数字安全进入‘高风险常态’的又一里程碑。