📰較早收集於 16m

DarkSword 漏洞攻擊 iOS 18 惡意連結

DarkSword 漏洞攻擊 iOS 18 惡意連結
PostLinkedIn
📰閱讀原文: The Verge

💡2.7 億 iOS 面臨 DarkSword 風險—立即保護 AI 工作流程的 Apple 裝置。

⚡ 30-Second TL;DR

有什麼變化

DarkSword 漏洞經惡意連結攻擊 iOS 18.4 至 18.6.2。

為什麼重要

使大量 iPhone 使用者暴露於間諜風險,促使緊急修補。用於開發的行動生態需及時更新。

下一步行動

將 iOS 開發裝置更新至最新版,以修補 DarkSword 漏洞。

誰應關注:Developers & AI Engineers

關鍵要點

  • DarkSword 漏洞經惡意連結攻擊 iOS 18.4 至 18.6.2。
  • 造訪惡意網站的 iPhone 遭竊取個人資訊。
  • 俄羅斯駭客部署,威脅 2.7 億舊版裝置。
  • Google Threat Intelligence、Lookout、iVerify 的發現。

🧠 深度解析

Web-grounded analysis with 8 cited sources.

🔑 增強重點摘要

  • DarkSword 是第二個大規模 iOS 攻擊,繼 2026 年 3 月 3 日公布的 Coruna 攻擊之後,使用相同俄羅斯威脅行為者基礎設施,並入侵烏克蘭政府伺服器 (.gov.ua)。[1]
  • DarkSword 完全以 JavaScript 撰寫,包含兩個漏洞鏈的六個漏洞,從 WebKit 開始至核心層,利用前所未見的優雅技術實現完整 iPhone 入侵,主要用於監視而非僅加密貨幣竊取。[1]
  • 攻擊者運作安全極差,JavaScript 程式碼未混淆且公開,伺服器元件顯示大型語言模型生成跡象,降低部署先進行動漏洞的門檻。[4]
  • DarkSword 針對 iOS 18.6-18.7 使用 CVE-2025-43529 (JavaScriptCore DFG JIT 垃圾回收錯誤) 及 CVE-2026-20700 (dyld PAC 繞過),並利用 WebGL 中的 CVE-2025-14174 實現 GPU 程序任意程式碼執行。[2]

🛠️ 技術深入

  • DarkSword 包含六個漏洞:類型混淆、使用後釋放、越界寫入、寫時複製核心錯誤及核心權限提升,從 Safari 瀏覽器開始透過 pe_main.js 協調器取得核心讀寫存取。[3]
  • 針對 iOS 18.6-18.7,使用 CVE-2025-43529 (JavaScriptCore DFG JIT 垃圾回收錯誤,Apple 於 iOS 18.7.3/26.2 修補) 開發 fakeobj/addrof 原始碼,建立任意讀寫。[2]
  • 鏈接 CVE-2026-20700 (dyld 使用者模式 PAC 繞過,iOS 26.3 修補),後續利用 ANGLE 中的 CVE-2025-14174 (WebGL 參數驗證不足,導致 GPU 程序越界記憶體操作)。[2]
  • 支援 iOS 18.4-18.7 (部分來源提及至 18.6.2),裝載機制較 Coruna 基本,包含 rce_loader.js 用於載入 RCE 漏洞工作者。[2]

🔮 前景展望AI analysis grounded in cited sources

未修補 DarkSword 漏洞易被重新部署或售賣於二手市場
iVerify 指出攻擊者運作安全差導致程式碼公開,加上 Coruna 類似情況,極可能有修改版或更多部署感染未更新 iOS 用戶。[1]
行動攻擊將增加,因手機佔網路流量更大比例
iVerify 共同創辦人表示,DarkSword 與 Coruna 顯示網路攻擊正遷移至行動裝置。[4]
LLM 生成程式碼降低國家資助駭客部署行動漏洞門檻
Lookout 分析 DarkSword 伺服器元件包含 LLM 特徵註解,允許經驗不足行為者使用先進漏洞。[4]

時間線

2025
iOS 18.4 至 18.6.2 版本發布,仍運行於高達 2.7 億台裝置
2026-03
Coruna iOS 攻擊鏈公布,俄羅斯行為者針對烏克蘭
2026-03-03
Coruna 攻擊公告,使用相同基礎設施發現 DarkSword
2026-03
Google Threat Intelligence 回報 CVE-2025-43529 及 CVE-2026-20700,Apple 陸續修補至 iOS 26.3
2026-03-18
iVerify、Lookout、Google 公布 DarkSword 分析,確認烏克蘭政府伺服器入侵
📰

AI 週報

閱讀本週精選 AI 大事摘要 →

👉相關動態

AI 策展新聞聚合。所有內容版權歸原始發布者所有。
原始來源: The Verge