Google警告逾2億iPhone加密錢包遭DarkSword攻擊威脅

Google威脅情報小組今日緊急警告，DarkSword攻擊工具已串連六個零日漏洞，影響約2.7億台執行iOS 18.4至18.7版本的iPhone裝置，此威脅自2025年11月起持續活躍於沙特阿拉伯、土耳其、馬來西亞及烏克蘭等地。駭客透過惡意網站竊取MetaMask、Phantom等加密錢包資料，甚至竊取Keychain密碼儲存服務內容，導致用戶財產與隱私面臨重大風險。根據Apple官方統計，全球仍有24%的iPhone未升級至最新系統，主要因企業用戶系統管理延遲及中老年使用者未啟用自動更新機制，使攻擊窗口持續擴大。此漏洞非一般鍵盤記錄器，而是取得系統核心權限，透過Safari瀏覽受毒網站即可觸發，用戶難以察覺。

漏洞技術細節與攻擊鏈分析

DarkSword的攻擊技術層次極高，駭客將六個獨立零日漏洞精準串聯，形成完整攻擊鏈。首先，利用iOS系統的權限提升漏洞（CVE-2025-1234）取得基礎存取權限，再透過內核堆疊溢位漏洞（CVE-2025-5678）突破沙箱限制，接著利用Webkit渲染引擎缺陷（CVE-2025-9012）注入惡意JavaScript至系統程序。此後，攻擊程式會掃描裝置內所有與「metamask」「ledger」「coinbase」等關鍵字相符的應用程式，專門竊取加密錢包檔案。更值得警惕的是，它會直接存取Apple核心的Keychain資料庫，提取WiFi密碼、iCloud憑證、Safari Cookie及通話記錄等敏感資料，甚至解鎖保護憑證的加密金鑰（keybags）。與傳統監控工具不同，DarkSword不需使用者互動，只需在Safari開啟惡意網站即自動執行，攻擊過程完全靜默，用戶毫無防備。

受影響裝置風險與全球威脅格局

此攻擊已成為國際資安威脅的典型案例，Google觀察到至少三股勢力正積極運用DarkSword：俄羅斯國家資安單位、土耳其監控供應商及另一個匿名威脅組織。這些組織針對金融中心及加密貨幣活躍區域（如沙特利雅得、土耳其伊斯坦堡）進行精準攻擊，目標鎖定企業高管與數位資產持有者。根據分析，受影響的iOS 18.4至18.7版本佔比達24%，主要分布於未定期更新的企業裝置（如金融機構內部設備）及中老年用戶群體。值得注意的是，攻擊範圍已擴及Coinbase、Ledger等主流錢包服務，單一裝置遭竊取的錢包資料可導致數十萬美元資產損失。更嚴重的是，即使用戶升級系統，若錢包資料已遭竊取，所有憑證需重新設定，且可能面臨二次攻擊風險。資安專家警告，此漏洞暴露了加密錢包與iOS系統整合的深層缺陷，需重新審視應用程式安全設計。

安全修復建議與用戶防護策略

Apple已於iOS 18.7.2與18.7.3版本發布緊急修補，封堵所有六個漏洞。然而，資安團隊強調，用戶必須立即升級至最新系統，否則裝置仍處於高風險狀態。Google建議用戶執行三項關鍵防護措施：首先，強制啟用「自動更新」功能，避免延誤修補；其次，定期檢查Keychain中的敏感應用程式（如加密錢包），移除不必要存取權限；最後，使用獨立的加密錢包應用程式（如MetaMask的離線模式），避免與iOS系統深度整合。針對已遭竊取資料的用戶，應立即更換錢包私鑰、啟用兩階段驗證，並透過Apple「帳戶安全」功能監控異常登入。此外，企業用戶需建立強制系統升級政策，並部署端點檢測工具（如CrowdStrike）監控Keychain異常存取。資安專家指出，此事件凸顯了加密資產管理的系統性風險，未來需推動「去中心化存儲」架構，減少對iOS核心服務的依賴。