Mê Dương xác nhận DarkSword đang tấn công từ bên ngoài, người dùng iOS 15 trở lên của Apple cần nâng cấp

Người đồng sáng lập Mùa Sương (SlowMist) là Yu Xuan đã xác nhận trên X vào ngày 15 tháng 5 rằng khung tấn công iOS rủi ro cao DarkSword đã được công bố rò rỉ thông qua các kênh như GitHub, và đang được dùng để tiến hành các cuộc tấn công trộm cắp quy mô lớn nhắm vào người nắm giữ ví tiền mã hóa. Mục tiêu tấn công là các thiết bị Apple sử dụng iOS 18.4 đến 18.7. Apple xác nhận rằng người dùng iOS 13 hoặc iOS 14 cần nâng cấp lên iOS 15 để được bảo vệ.

Cơ chế tấn công DarkSword: các kịch bản mà Yu Xuan xác nhận

Theo xác nhận của Yu Xuan trong bài đăng trên X, kịch bản tấn công DarkSword như sau:

Điều kiện tấn công (không cần tắt trang độc hại): Nạn nhân dùng trình duyệt Safari truy cập các loại trang web độc hại sau và giữ trạng thái trang mở:

· Trang web phát trực tiếp giả mạo nội dung người lớn

· Trang web điểm năng lượng của TRON (Tron)

· Trang web giả mạo quy trình hoàn tiền

· Trang web giả mạo cảnh báo lỗ hổng

Kích hoạt tấn công: Trong lúc Safari đang mở trang độc hại, nếu nạn nhân mở khóa ứng dụng ví tiền mã hóa, mã JavaScript độc hại có thể đánh cắp khóa riêng dạng văn bản và cụm từ ghi nhớ của ví, đồng thời gửi ngay về cho kẻ tấn công.

Yu Xuan xác nhận: “Tôi đã có được một số mẫu tấn công ngoài thực địa”, đồng thời cho biết SlowMist “sẽ xem xét tình hình để quyết định công bố” thêm chi tiết kỹ thuật.

Những người dùng nào đã được bảo vệ, và ai cần hành động ngay

Theo tài liệu hỗ trợ chính thức của Apple xác nhận:

Đã được bảo vệ (không cần thao tác thêm): Các thiết bị iOS 15 đến iOS 26 đã cài đặt bản cập nhật mới nhất

Cần hành động ngay:

· Thiết bị đang chạy iOS 18.4 đến iOS 18.7 và chưa cài đặt bản vá bảo mật mới nhất: cài đặt cập nhật ngay trong “Cài đặt” > “Cài đặt chung” > “Cập nhật phần mềm”

· Thiết bị đang chạy iOS 13 hoặc iOS 14: bắt buộc nâng cấp lên iOS 15 để được bảo vệ

Các biện pháp bảo mật bổ sung (Apple xác nhận chính thức):

· Tính năng “Duyệt web an toàn” của Safari (mặc định là bật) có thể chặn các tên miền URL độc hại đã được xác định

· Đối với người dùng rủi ro cao hoặc người dùng không thể cập nhật thiết bị, Apple khuyến nghị bật “Chế độ khóa (Lockdown Mode)”

Trong tài liệu hỗ trợ, Apple nêu rõ: “Nếu bạn đã cập nhật phần mềm iPhone lên phiên bản mới nhất, thì thiết bị của bạn đã được bảo vệ.”

Câu hỏi thường gặp

Tấn công DarkSword có cần người dùng chủ động bấm vào thao tác cụ thể nào để kích hoạt không?

Theo xác nhận của Yu Xuan, nạn nhân chỉ cần dùng trình duyệt Safari để truy cập trang web độc hại và giữ trang mở, sau đó mở khóa ứng dụng ví tiền mã hóa mà không cần tắt trang; khóa riêng có thể bị đánh cắp. Không cần người dùng thực hiện bất kỳ thao tác bấm cụ thể nào.

Người dùng iOS 13 hoặc iOS 14 được bảo vệ như thế nào?

Theo tài liệu hỗ trợ chính thức của Apple, người dùng iOS 13 hoặc iOS 14 phải nâng cấp lên iOS 15 (hoặc phiên bản cao hơn) để được bảo vệ trước DarkSword. Apple đã phát hành các bản cập nhật bảo mật cho iOS 15 và iOS 16, nhằm cung cấp lớp bảo vệ bổ sung cho các thiết bị cũ không thể cập nhật lên phiên bản mới nhất.

Nếu không thể cập nhật thiết bị thì có các biện pháp bảo vệ thay thế nào?

Theo khuyến nghị chính thức của Apple, đối với người dùng không thể cập nhật thiết bị, Apple khuyến nghị bật “Chế độ khóa (Lockdown Mode)” để ngăn nội dung mạng độc hại và các mối đe dọa khác. Ngoài ra, hãy đảm bảo rằng tính năng “Duyệt web an toàn” trong Safari (mặc định là bật) đã được bật, vì có thể chặn một số tên miền độc hại đã được xác định.