2026·04·02

iOS 18.7.7,终于更新了。

4 月 2 日上午,苹果突然推送了 iOS 18.7.7、iPadOS 18.7.7 正式版。

如之前所说,这次更新主要是为了封堵 DarkSword 漏洞,以免用户遭受更大的损失。

因为着急,苹果又闹了个乌龙。它为 iPad 9 开放了 iPadOS 18.7.7 的验证通道,即使是 iPadOS 26 也能降级。

打开网易新闻 查看精彩图片

不过通道很快就被关闭了,目前已经无法降级。

可以看到,DarkSword 让苹果彻底乱了分寸,它暴露了苹果自家的 Webkit 引擎,既不开放,也不安全的事实。

iOS 强制所有浏览器必须使用 WebKit,第三方不能用自家引擎,用户别无选择。

如果不更新系统,用户只需打开一个危险网站,黑客就能利用 DarkSord 攻击链直接黑进手机,并在短短几分钟内拿走iCloud 数据、文件、笔记、钱包、照片等数据,然后抹去一切痕迹。

打完就跑,润物细无声。

打开网易新闻 查看精彩图片

而且它的触发方式非常简单,一个链接、一个广告弹窗,就是攻击入口。黑客甚至会攻击那些知名的正规网站,挂上 exploit,以此来降低用户的戒心,基本上是防不胜防。

这个漏洞的危险程度,要远远高于之前发布的任何漏洞。

更关键的是,DarkSword 的利用代码,还在 GitHub 中开源了。

这才区区两三天,开发者就利用 DarkSword 开发出了 FontChanger。

这是一个字体替换工具,实测已经给一台搭载 iOS 26.0 系统的 iPhone SE2,更换了不同的字体。

它支持 iOS 17.0 - iOS 18.7.1,甚至 iOS 26.0 - iOS 26.0.1。iOS 26 都被突破了,天知道以后还会出什么新工具。

打开网易新闻 查看精彩图片

这可能是玩机党的胜利,却是普通人的大败局。DarkSword 漏洞开始“商用”,也意味着老系统不再安全。

为什么?因为 DarkSword 把苹果的 WebKit 引擎“打穿了”。

iOS 所有浏览器,都采用 Webkit 这个单一引擎,第三方引擎仍未开放,所以你换什么浏览器都没用。

甚至应用内网页,广告组件,支付跳转页,都是同一套 WebKit 引擎。所有能跳转网页,启动网页的交互,都有可能变成木马的触发器——而且用户根本感知不到。

因此,对大多数人来说,如果运行的是 iOS 18 以下系统,都强烈建议更新到 iOS 18.7.7,或者 iOS 26.3 以上。

因为,即使你知道这个漏洞的原理、影响、后果,也无法永远规避风险。还是更新系统吧,至少心里踏实。