北京
4月1日當(dāng)天,蘋果做了一個(gè)違背祖訓(xùn)的決定。
這家向來用"升級(jí)最新系統(tǒng)"解決一切安全問題的公司,突然給iOS 18這個(gè)"過氣版本"打了一針強(qiáng)心劑。iOS 18.7.7的發(fā)布范圍從最初僅限iPhone XS/XR系列,緊急擴(kuò)展到包括iPhone 16e在內(nèi)的更多機(jī)型。
原因很簡(jiǎn)單:一個(gè)叫DarkSword的黑客工具包正在外網(wǎng)流竄,而全球五分之一的近四年iPhone還在用iOS 18。
DarkSword是什么來頭
這個(gè)名字聽起來像某款國產(chǎn)手游裝備的東西,實(shí)際上是Google威脅情報(bào)團(tuán)隊(duì)發(fā)現(xiàn)的一套網(wǎng)絡(luò)攻擊工具包。
它的攻擊目標(biāo)很明確:通過網(wǎng)頁入侵你的設(shè)備,然后讀取消息、掏空加密錢包。Google的追蹤顯示,目前確認(rèn)的受害地區(qū)集中在馬來西亞、沙特、土耳其和烏克蘭——全是美國以外的市場(chǎng)。
但危險(xiǎn)信號(hào)在3月底突然升級(jí)。TechCrunch發(fā)現(xiàn)DarkSword的完整代碼被上傳到了GitHub,這意味著任何有點(diǎn)技術(shù)底子的人都能下載研究、二次開發(fā)。
Lookout安全情報(bào)研究總監(jiān)Christoph Hebeisen對(duì)此的評(píng)價(jià)很直白:「這個(gè)工具包的公開可用性極其令人擔(dān)憂,考慮到仍有大量活躍設(shè)備存在漏洞,利用該漏洞套件發(fā)起 opportunistic attacks(機(jī)會(huì)性攻擊)的可能性非常高。」
翻譯一下:以前DarkSword可能只是專業(yè)黑客的手藝活,現(xiàn)在變成了批量生產(chǎn)的流水線武器。
蘋果的反常操作
蘋果在漏洞說明文檔里寫得很清楚:「我們于2026年4月1日擴(kuò)大了iOS 18.7.7的可用范圍,以便開啟自動(dòng)更新的用戶能夠自動(dòng)獲得針對(duì)DarkSword網(wǎng)絡(luò)攻擊的重要安全防護(hù)。」
這句話的潛臺(tái)詞是:我們知道你們不想升iOS 26,但DarkSword不等人。
按照蘋果往年的脾氣,這種級(jí)別的安全威脅通常只有一個(gè)標(biāo)準(zhǔn)答案——"請(qǐng)升級(jí)至最新iOS版本"。這次卻罕見地給舊版本續(xù)命,甚至iPhone 16e這種2025年才發(fā)布的新機(jī)也能留在iOS 18的舒適區(qū)里。
但蘋果還是補(bǔ)了一句:「如果可能,請(qǐng)更新至最新的iOS 26版本,其中包含最強(qiáng)的安全防護(hù)。」
這像極了產(chǎn)品經(jīng)理的經(jīng)典話術(shù):我給你開了后門,但官方推薦方案還是那個(gè)。
誰在堅(jiān)守iOS 18
蘋果自己的數(shù)據(jù)說,過去四年發(fā)布的iPhone里,大約20%還在運(yùn)行iOS 18的某個(gè)版本。
這批用戶的心態(tài)不難猜:iOS 26的界面改動(dòng)太大,學(xué)習(xí)成本陡增;或者某些工作流依賴的App還沒適配;又或者單純覺得"手機(jī)還能用,為什么要折騰"。
DarkSword的威脅模型恰好掐住了這個(gè)群體的軟肋——網(wǎng)頁攻擊不需要你點(diǎn)擊什么可疑鏈接,瀏覽一個(gè)被植入惡意代碼的正常網(wǎng)站就可能中招。而加密錢包的失竊意味著損失無法追回,這比單純的數(shù)據(jù)泄露更致命。
GitHub上的公開代碼已經(jīng)把攻擊門檻降到了腳本小子的水平。馬來西亞和烏克蘭的受害案例證明這套工具包確實(shí)在實(shí)戰(zhàn)中運(yùn)轉(zhuǎn),現(xiàn)在它變成了誰都能下載的教程。
蘋果這次破例給舊版本發(fā)補(bǔ)丁,本質(zhì)上是在為"系統(tǒng)碎片化"買單。當(dāng)五分之一的活躍設(shè)備拒絕跟隨最新版本,安全團(tuán)隊(duì)就不得不維護(hù)兩條戰(zhàn)線。
如果你還在iOS 18的陣營里,設(shè)置-通用-軟件更新里應(yīng)該已經(jīng)能看到18.7.7的推送。自動(dòng)更新開啟的用戶會(huì)靜默收到補(bǔ)丁,手動(dòng)黨建議這兩天抽空點(diǎn)一下。
蘋果罕見地給舊版本開了綠燈,但綠燈是有有效期的——下次再出現(xiàn)DarkSword級(jí)別的威脅,iOS 18的用戶還能不能收到補(bǔ)丁,誰也不敢打包票。
你的iPhone還停留在哪個(gè)版本?是主動(dòng)選擇還是被動(dòng)困守?
特別聲明:以上內(nèi)容(如有圖片或視頻亦包括在內(nèi))為自媒體平臺(tái)“網(wǎng)易號(hào)”用戶上傳并發(fā)布,本平臺(tái)僅提供信息存儲(chǔ)服務(wù)。
Notice: The content above (including the pictures and videos if any) is uploaded and posted by a user of NetEase Hao, which is a social media platform and only provides information storage services.
