🏷️ iOS 18.7.8, CVE-2026-28950, DarkSword, 通知残留漏洞, WebKit漏洞, 加密货币钱包, 苹果安全更新

删掉的通知还在,暗网钱包已空:iOS 18.7.8紧急修复的两个高危漏洞

你以为删掉的通知已经消失了。但它们还在。

2026年5月1日深夜,苹果向iPhone用户推送了iOS 18.7.8正式版。这不是一次普通的功能更新——苹果在更新说明里只写了一句话:”本更新提供了重要的安全性修复,建议所有用户安装。”

而这句话背后,藏着两个高危漏洞:一个让”已删除”的通知变成”幽灵”,一个让访问恶意网页的手机彻底沦陷。

漏洞一:CVE-2026-28950,通知删了≠没了

不少iPhone用户有过这样的经历:锁屏上的微信消息、短信验证码,下拉清除后以为就消失了。但CVE-2026-28950告诉所有人——它们可能还在系统里

这个漏洞被称为”通知残留漏洞”。简单说,iOS 18系统中,即使你在锁屏或通知中心删除了某条通知,这条通知的”尸体”仍然可能残留在系统数据库中。

残留的内容包括: - 微信、短信、iMessage的消息预览 - 银行卡验证码、登录验证码 - 行程提醒、航班信息 - 聊天记录片段 - 其他App推送的敏感内容

更糟的是,这些残留数据可能被某些第三方应用或恶意程序读取、恢复、提取。对于使用Signal等加密通讯软件的用户来说,这无疑是一个巨大的隐私漏洞——你以为消息已经”阅后即焚”,但系统悄悄留了份备份。

苹果的修复方式:改进了系统的”数据遮盖策略”(data masking),在通知被删除时彻底清理相关记录,而不是只做一个”隐藏”标记。

漏洞二:DarkSword的幽灵仍在游荡

iOS 18.7.8修复的第二个漏洞,与一条代号”DarkSword”的攻击链有关。

这不是一个新漏洞。早在2026年3月,谷歌威胁情报小组(Google Threat Intelligence Group)就联合iVerify和Lookout两家安全公司,公开披露了这条针对iOS 18.4至18.7的全链攻击工具。但直到5月1日,苹果才为无法升级到iOS 26的老设备推送补丁。

DarkSword是如何攻击的?

DarkSword是一条典型的”零点击”攻击链——用户无需点击任何按钮,只需打开一个恶意网页,攻击即可自动完成。

完整攻击链路

  1. 入口:Safari / WebKit RCE
    用户访问被植入恶意代码的网站(水坑攻击),或点击一个钓鱼链接。WebKit引擎渲染网页时触发远程代码执行漏洞。

  2. 沙箱逃逸
    利用第二个漏洞突破iOS应用沙箱,获得访问系统其他区域的能力。

  3. 内核提权
    通过内核漏洞获取root权限,完全控制设备。

  4. 载荷注入(GhostBlade / GhostKnife / GhostSaber)
    在设备中植入后门程序,实现长期监控和数据窃取。

  5. 打完就跑(Hit-and-Run)
    几分钟内窃取所有目标数据,上传至服务器,然后清除一切痕迹——仿佛从未出现过。

它窃取什么?

DarkSword的目标非常明确:加密货币资产和金融数据

被扫描和窃取的应用包括: - 交易所:Coinbase、Binance、Kraken、KuCoin、OKX、MEXC - 硬件钱包:Ledger、Trezor - 软件钱包:MetaMask、Exodus、Uniswap、Phantom、Gnosis Safe

除此之外,它还会窃取: - 短信、iMessage、通话记录、通讯录 - Wi-Fi密码、Safari Cookie与浏览记录 - 地理位置、健康数据、照片 - 保存的密码、Telegram和WhatsApp聊天记录

攻击范围

根据谷歌和安全厂商的报告,DarkSword已被多方攻击者使用,攻击目标分布在: - 沙特阿拉伯 - 土耳其 - 马来西亚 - 乌克兰

部分攻击针对政府网站——这意味着,某些政府官网本身可能已被植入恶意代码,访客在不知情的情况下被感染。

为什么苹果”乱了分寸”?

iOS 18.7.8已经是苹果在过去一个多月里,第二次为iOS 18系统推送紧急安全更新。

  • 4月2日:iOS 18.7.7修复DarkSword漏洞链
  • 5月1日:iOS 18.7.8修复通知残留漏洞 + 其他安全问题

这个频率在苹果历史上并不常见。更关键的是,苹果一向以”安全封闭”为傲,强制所有浏览器使用WebKit引擎、不允许第三方应用商店、严格控制App审核——但DarkSword暴露了一个尴尬的事实:既不开放,也不安全

当用户只能使用WebKit时,WebKit的漏洞就成了整个生态系统的阿喀琉斯之踵。DarkSword只需要一个链接、一个广告弹窗,就能绕过苹果精心设计的所有防护。

谁需要更新?

iOS 18.7.8主要面向尚未升级至iOS 26的设备

根据苹果官方统计数据,截至2026年2月,iOS 26的普及率已达66%。这意味着仍有约三分之一的设备运行着旧版本系统——而这些设备,正是DarkSword的目标。

建议立即更新的用户: - 使用iOS 18.4至18.7的用户 - 设备不支持iOS 26的老款iPhone - 安装了加密货币钱包应用的用户 - 经常使用Safari或App内置浏览器的用户

更新方式:设置 → 通用 → 软件更新 → 下载并安装

防御建议

  1. 立即更新系统:iOS 18.7.8已封堵所有已知漏洞,iOS 26用户则更早获得保护
  2. 不要点击陌生链接:DarkSword的入口是恶意网页,一个链接就是攻击起点
  3. 使用硬件钱包存储大额资产:手机始终是联网设备,热钱包风险更高
  4. 定期检查钱包授权:即使没有中招,也建议定期撤销不必要的合约授权
  5. 开启双重验证:交易所账户务必启用2FA,避免单一设备失守导致全面沦陷

写在最后

CVE-2026-28950提醒我们:在数字世界里,”删除”从来不是一个可信的动作。系统可能留着备份,数据库可能留着痕迹,恶意程序可能在角落静静等待。

而DarkSword则展示了另一面:在封闭与开放的争论中,用户从来不是赢家。当WebKit成为唯一选择时,WebKit的漏洞就成了所有人的漏洞。

更新吧。别让那些”已删除”的通知,成为别人眼中的”已保存”。

信息来源

返回博客列表