DarkSword 被披露：Safari 打开恶意网页即可被入侵，旧版 iPhone 该升级了

Google Threat Intelligence Group 披露了一条名为 DarkSword 的 iOS 攻击链。它最值得普通用户警惕的地方，不是技术有多复杂，而是入口非常轻：在 Safari 打开恶意网页，设备就可能在静默过程中被完整拿下。

按 Google 的说法，这条链路自 2025 年 11 月起已被多类攻击者在沙特、土耳其、马来西亚和乌克兰的行动中使用，影响 iOS 18.4 至 18.7，串联 6 个漏洞，并在成功利用后投放 GHOSTBLADE、GHOSTKNIFE、GHOSTSABER 等后续载荷。

网页就是入口

公开分析显示，攻击者会把页面伪装成 Snapchat 相关站点，或者把恶意脚本植入其他网站。用户一旦访问，页面会先静默创建 iframe，再加载后续脚本，把利用链一步步拉起来。

更值得注意的是，部分样本里还专门处理了 Chrome 场景：如果用户不是直接在 Safari 里打开，页面会尝试用 x-safari-https 协议把目标跳转到 Safari 再继续利用。换句话说，攻击者盯上的不是某个下载动作，而是你把恶意页面打开这件事本身。

拿走的不会只是浏览器数据

根据已观察到的载荷能力，攻击成功后，攻击者可能进一步获取短信和 iMessage、WhatsApp 与 Telegram 数据、邮件与保存的凭证、联系人、通话记录、位置历史、照片及其元数据、iCloud 文件、Safari 历史与 Cookie、Wi‑Fi 设置和密码，以及加密货币钱包相关信息。

这说明 DarkSword 不是“点进去崩一下网页”的级别，而是可以把网页入口一路延伸成整机控制。对高风险目标来说，影响已经接近完整监控；对普通用户来说，它也足够说明一个老问题：移动端浏览器并不只是看网页的地方，很多时候它就是系统攻击面的正门。

修补已经完成，但别误会成今天才修

Google 表示，DarkSword 相关漏洞已在 iOS 26.3 中全部完成修补。但这并不等于 26.3 才第一次修好。其中大多数漏洞此前已经被 Apple 分批修复，只是这次研究把整条链路重新拼完整了。

一个比较典型的例子是用于 iOS 18.6 至 18.7 的 CVE-2025-43529：它其实已经在 iOS 18.7.3 和 26.2 中被修补。这也意味着，如果设备长期停在旧版系统，不只是少了一个新功能，而是可能一直带着一扇已经被公开证明能被打穿的门。

对 iPhone 用户，眼下最实际的是三件事

第一，尽快升级到当前可用的最新 iOS 版本，至少不要停留在已知受影响的旧版本上。

第二，别把“只是打开了一个网页”当成低风险动作，尤其是来路不明的伪装页面、社交平台外链和被转发多次的短链。

第三，如果你属于更高风险人群，比如记者、活动人士、跨境业务从业者、长期处理敏感资料的人，除了升级系统，也可以考虑开启 Lockdown Mode，把高风险面先收紧。

来源：Google Cloud Blog《The Proliferation of DarkSword: iOS Exploit Chain Adopted by Multiple Threat Actors》