由于 DarkSword 威胁极其严重，苹果罕见地为 iOS 18 发布向后兼容补丁

当苹果打破自己的规则时，你就知道情况不妙了

苹果向来不会给那些跳过软件更新的用户提供任何优待。该公司的基本理念始终很简单：要么更新，要么承担后果。因此，当库比蒂诺宣布将专门为 iOS 18 发布罕见的向后兼容安全补丁时，你就知道确实发生了令人担忧的事情。

这件事情就是 DarkSword，这是一个自 2025 年 11 月以来一直在悄悄入侵 iPhone 的漏洞利用套件，如今已经引起了广泛关注。苹果已向《连线》（WIRED）证实，它将为数百万仍在使用该版本的 iPhone 用户提供 iOS 18 专用修复程序，而不是强迫他们升级到 iOS 26。对苹果而言，这相当于安全领域的上门服务。

DarkSword 到底是什么？

DarkSword 由谷歌威胁情报小组（GTIG）、移动安全公司 iVerify 和 Lookout 共同发现并分析，是一个针对运行 iOS 18.4 至 18.7 版本 iPhone 的复杂漏洞利用链。它利用了六个独立的漏洞，其中三个是零日漏洞，这意味着苹果在它们被广泛利用之前并不知情。

这种攻击方法被安全研究人员称为“路过式”（drive-by）攻击。在受影响的 iPhone 上访问一个被入侵的网站，DarkSword 就能静默地接管你的设备。无需安装恶意应用，无需弹出可疑的权限提示。当你浏览网页时，网页本身就在后台执行恶意操作。

一旦进入系统，该漏洞利用链会部署三个不同的恶意软件家族：GHOSTBLADE、GHOSTKNIFE 和 GHOSTSABER。没错，命名委员会里有人显然玩得很开心，但威胁本身一点也不好笑。

问题的严重程度

这就是真正令人不安的地方。截至 2026 年 2 月，大约四分之一的 iPhone 用户仍在运行 iOS 18。苹果 2 月 12 日的 App Store 数据显示，在近期设备中这一比例为 20%，如果算上更广泛的老旧硬件，这一数字会上升到 24% 至 25% 左右。无论你相信哪种统计方式，这意味着有 2.2 亿至 2.7 亿部 iPhone 受到影响。

换个角度看，这相当于印度尼西亚的人口数量正处于一个存在漏洞的操作系统上。

目前已确认的攻击目标包括马来西亚、沙特阿拉伯、土耳其和乌克兰的用户。但随着 2026 年 3 月 23 日左右 DarkSword 代码被泄露到 GitHub 上，情况急剧恶化。曾经用于定向监控的工具现在实际上变成了开源武器。

还有安全研究人员未经证实的报告称，已发现一个新的活跃 DarkSword 域名针对美国用户，尽管这一说法尚未得到除单一来源之外的独立确认。

从间谍工具到犯罪工具：DarkSword 的演变

谷歌的威胁情报团队追踪到了 DarkSword 一个令人沮丧的熟悉模式。它最初是一种商业监控工具，卖给那些信誓旦旦保证只会将其用于应对真正威胁的政府。随后，它被俄罗斯间谍组织 UNC6353 使用，最后流向了以营利为目的的网络罪犯手中。

从国家支持的工具演变为犯罪商品，这在安全领域已成为一条司空见惯的道路。安全公司 Malfors 和 Proofpoint 已经指出，与克里姆林宫 FSB 有关的黑客组织 TA446（也称为 Star Blizzard 或 COLDRIVER）从 3 月 26 日起开始发送植入 DarkSword 的钓鱼邮件。这些邮件专门伪造大西洋理事会的邀请，针对政府官员、智库、大学、金融机构和法律实体。

前 NSA 黑客、专注于苹果安全的公司 DoubleYou 的首席执行官 Patrick Wardle 一直在敲响警钟。当拥有他这种背景的人说情况很严重时，确实值得关注。

为什么苹果要打破先例

苹果决定为 iOS 18 发布向后兼容补丁确实非常罕见。该公司以前曾这样做过，最著名的一次是 Coruna 漏洞套件被发现时，苹果将安全修复程序推送到 iOS 17，但这仍然是例外而非规则。

Coruna 的先例值得研究，因为两者的相似之处令人震惊。据报道，该工具包是由 L3Harris 的 Trenchant 部门为美国政府开发的，随后传播到俄罗斯间谍组织，最终流向中国网络罪犯。它影响了至少 42,000 台设备，在当时被认为对 iOS 来说规模巨大。而 DarkSword 威胁要完全超过这些数字。

核心问题在于，苹果不能简单地强迫四分之一的用户群升级到 iOS 26。许多用户刻意留在 iOS 18，并不是因为他们懒惰或排斥技术。

iOS 26 的困境

于 2025 年 9 月发布并采用充满争议的“液态玻璃”（Liquid Glass）设计的 iOS 26，其采用率一直处于历史低位。截至 2026 年 1 月，只有 18.1% 的 iPhone 完成了升级，而 iOS 18 在其生命周期的同一阶段采用率为 77.1%。这是一个惊人的差距。

原因有很多。液态玻璃界面的全面改版招致了用户的强烈批评，他们认为这在可用性上是一种倒退。特别是在英国，iOS 26.4 引入了强制性的年龄验证功能，导致用户进一步抵制，因为他们不愿意交出额外的个人数据。

告诉数亿人去接受一个他们已经明确拒绝的操作系统，这并不是一个可行的安全策略。因此才有了这些向后兼容的补丁。

你现在应该做什么

如果你正在运行 iOS 18.4 到 18.7 版本，建议如下：

• 补丁一发布就立即安装。苹果已确认补丁即将到来，不要拖延。
• 对链接保持高度警惕。DarkSword 通过被入侵的网站发挥作用，而 FSB 关联的钓鱼活动意味着恶意链接正通过电子邮件积极传播。
• 检查你的 iOS 版本。进入设置，点击通用，然后点击关于本机。如果你处于受影响范围内，请留意更新通知。
• 考虑升级到 iOS 26 是否值得。确实，液态玻璃界面需要时间适应。但运行一个正在积极接收全面安全更新的操作系统，通常比依赖向后兼容的紧急修复程序更好。

大局观

DarkSword 凸显了智能手机安全模式中日益增长的紧张关系。长期以来，苹果一直坚持认为最好的保护就是运行最新的软件。但当用户因为极其不喜欢新版本而导致采用率暴跌时，这种模式就会彻底崩溃。

苹果在这里选择务实而非自尊，值得称赞。为 iOS 18 发布向后兼容补丁隐含承认了 iOS 26 的采用率并未按计划进行，而苹果通常不会轻易做出这种承认。

iVerify 的联合创始人 Rocky Cole 一直在呼吁这种灵活性。当数亿台设备处于危险之中时，“只管更新”的口号显得苍白无力。

目前，直接威胁很明确，修复程序也已经在路上了。但更深层次的问题仍然存在：当下一次关键漏洞出现，而大量用户仍坚持使用他们拒绝离开的旧操作系统时，会发生什么？苹果可能需要重新思考其长期支持策略，因为 DarkSword 不会是最后一个利用这一差距的工具包。

阅读原文请访问 来源。