慢霧確認 DarkSword 在野攻擊，蘋果 iOS 15 以上用戶需升級

慢霧聯合創始人余弦於 5 月 15 日在 X 確認，高危 iOS 攻擊框架 DarkSword 已在 GitHub 等管道公開洩露，正被用於針對加密錢包持有人的大規模竊密攻擊，攻擊目標為使用 iOS 18.4 至 18.7 版的蘋果設備。蘋果確認 iOS 13 或 iOS 14 用戶須升級至 iOS 15 方可獲保護。

DarkSword 攻擊機制：余弦確認的攻擊場景

根據余弦在 X 帖子中的確認，DarkSword 攻擊場景如下：

攻擊前提（無需關閉惡意頁面）： 受害者的 Safari 瀏覽器訪問以下類型的惡意網頁並保持開啟狀態：

· 假冒色情直播網頁

· 波場（TRON）能量站網頁

· 退款流程偽裝網頁

· 漏洞預警偽裝網頁

攻擊觸發： 在 Safari 開啟惡意頁面期間，受害者若解鎖加密貨幣錢包 App，惡意 JavaScript 代碼可竊取錢包的明文私鑰和助記詞，並即時回傳給攻擊者。

余弦確認：「已拿到一些在野攻擊樣本」，並表示慢霧「會看情況再決定披露」更多技術細節。

哪些用戶已受保護，哪些需要立即採取行動

根據 Apple 官方支援文件確認：

已受到保護（無需額外操作）： 已安裝最新更新的 iOS 15 至 iOS 26 設備

需要立即採取行動：

· 運行 iOS 18.4 至 18.7 且尚未安裝最新安全補丁的設備：立即在「設定」>「一般」>「軟體更新」安裝更新

· 運行 iOS 13 或 iOS 14 的設備：必須升級至 iOS 15 才能獲得保護

額外安全措施（Apple 官方確認）：

· Safari「安全瀏覽」功能（預設開啟）可阻止已識別的惡意 URL 域名

· 對於高風險用戶或無法更新設備的用戶，Apple 建議啟用「鎖定模式（Lockdown Mode）」

Apple 在支援文件中明確指出：「如果您已將 iPhone 軟體更新至最新版本，那麼您的裝置就已經受到保護。」

常見問題

DarkSword 攻擊需要用戶主動點擊什麼操作才能觸發嗎？

根據余弦的確認，受害者僅需使用 Safari 瀏覽器訪問惡意網頁並保持頁面開啟狀態，隨後在不關閉頁面的情況下解鎖加密錢包 App，私鑰即可能被竊取。無需用戶進行任何特定點擊操作。

iOS 13 或 iOS 14 用戶如何獲得保護？

根據 Apple 官方支援文件，iOS 13 或 iOS 14 用戶必須升級至 iOS 15（或更高版本）才能獲得針對 DarkSword 的保護。Apple 已發布 iOS 15 和 iOS 16 的安全更新，為無法更新至最新版本的舊裝置提供額外保護。

如果無法更新設備，有哪些替代保護措施？

根據 Apple 官方建議，對於無法更新設備的用戶，Apple 建議啟用「鎖定模式（Lockdown Mode）」以防止惡意網路內容和其他威脅。此外，確認 Safari 中的「安全瀏覽」功能（預設開啟）已啟用，可阻止部分已識別的惡意域名。