慢雾确认 DarkSword 在野攻击，苹果 iOS 15 以上用户需升级

慢雾联合创始人余弦于 5 月 15 日在 X 确认，高危 iOS 攻击框架 DarkSword 已在 GitHub 等管道公开泄露，正被用于针对加密货币钱包持有人的大规模窃密攻击，攻击目标为使用 iOS 18.4 至 18.7 版的苹果设备。苹果确认 iOS 13 或 iOS 14 用户须升级至 iOS 15 方可获得保护。

DarkSword 攻击机制：余弦确认的攻击场景

根据余弦在 X 帖子中的确认，DarkSword 攻击场景如下：

攻击前提（无需关闭恶意页面）：受害者的 Safari 浏览器访问以下类型的恶意网页并保持开启状态：

· 假冒色情直播网页

· 波场（TRON）能量站网页

· 退款流程伪装网页

· 漏洞预警伪装网页

攻击触发：在 Safari 开启恶意页面期间，受害者若解锁加密货币钱包 App，恶意 JavaScript 代码可窃取钱包的明文私钥和助记词，并即时报送给攻击者。

余弦确认：“已拿到一些在野攻击样本”，并表示慢雾“会看情况再决定披露”更多技术细节。

哪些用户已受保护，哪些需要立即采取行动

根据 Apple 官方支持文件确认：

已受到保护（无需额外操作）：已安装最新更新的 iOS 15 至 iOS 26 设备

需要立即采取行动：

· 运行 iOS 18.4 至 18.7 且尚未安装最新安全补丁的设备：立即在“设置”>“一般”>“软件更新”安装更新

· 运行 iOS 13 或 iOS 14 的设备：必须升级至 iOS 15 才能获得保护

额外安全措施（Apple 官方确认）：

· Safari“安全浏览”功能（默认开启）可阻止已识别的恶意 URL 域名

· 对于高风险用户或无法更新设备的用户，Apple 建议启用“锁定模式（Lockdown Mode）”

Apple 在支持文件中明确指出：“如果您已将 iPhone 软件更新至最新版本，那么您的装置就已经受到保护。”

常见问题

DarkSword 攻击需要用戶主动点击什么操作才能触发吗？

根据余弦的确认，受害者仅需使用 Safari 浏览器访问恶意网页并保持页面开启状态，随后在不关闭页面的情况下解锁加密货币钱包 App，私钥即可能被窃取。无需用户进行任何特定点击操作。

iOS 13 或 iOS 14 用户如何获得保护？

根据 Apple 官方支持文件，iOS 13 或 iOS 14 用户必须升级至 iOS 15（或更高版本）才能获得针对 DarkSword 的保护。Apple 已发布 iOS 15 和 iOS 16 的安全更新，为无法更新至最新版本的旧设备提供额外保护。

如果无法更新设备，有哪些替代保护措施？

根据 Apple 官方建议，对于无法更新设备的用户，Apple 建议启用“锁定模式（Lockdown Mode）”以防止恶意网络内容和其他威胁。此外，确认 Safari 中的“安全浏览”功能（默认开启）已启用，可阻止部分已识别的恶意域名。