Sårbarheden kendt som Mørksværd Det er blevet en af de mest alvorlige sikkerhedshændelser, der for nylig har påvirket iPhones. Forskere fra Google, iVerify og Lookout har dokumenteret, hvordan dette sæt af nul-klik-angreb Det giver mulighed for at tage kontrol over enheder med iOS 18 blot ved at indlæse en inficeret webside, uden at personen behøver at trykke på noget eller åbne mistænkelige links.
Sagen har fået alarmklokkerne til at ringe i det europæiske cybersikkerhedsmiljø, fordi hundredvis af millioner af iPhones Sårbare versioner af iOS 18 kører stadig rundt om i verden. Selvom Apple allerede har udgivet rettelser og nødopdateringer, er implementeringen af de nyeste versioner langsommere end forventet, delvist på grund af tvivl om hvordan administrere plads, som opretholder en betydelig angrebsflade både i Europa og på andre markeder.
Hvad er DarkSword præcist, og hvorfor skaber det så meget bekymring?
DarkSword er ikke en simpel isoleret fejl, men en komplet angrebssæt til iOS Designet til at kompromittere iPhones uden brugerinteraktion. Teknisk analyse viser, at værktøjet kædes sammen seks zero-day sårbarheder at gå fra Safari-browseren til selve operativsystemets kerne og dermed opnå tilstrækkelige rettigheder til at få adgang til stort set alle oplysninger på enheden.
Den oprindelige kampagne blev registreret i Snesevis af legitime ukrainske hjemmesider der var blevet manipuleret. Blot at tilgå en af disse sider fra en inficeret iPhone var nok til at udløse angrebskæden i baggrunden. Derfra kunne DarkSword læse iMessage-, WhatsApp- og Telegram-beskeder, gennemgå browserhistorik, se noter, kalenderbegivenheder eller endda få adgang til poster fra Apples Sundheds-app.
Et af de elementer, der bekymrer forskere mest, er, at angrebet er blevet implementeret i stor skala og ikke kun mod højprofilerede mål. Ifølge data indsamlet af iVerify og Lookout, mellem 220 og 270 millioner iPhones De fortsætter med at bruge sårbare versioner af iOS 18, hvilket i praksis repræsenterer omkring 14-25% af den aktive iPhone-flåde.
Derudover er DarkSword afhængig af en arkitektur af post-exploitation-moduler – omtalt af analytikere med kodenavne som f.eks. GHOSTBLADE, GHOSTKNIFE eller GHOSTSABER— som er ansvarlige for at indsamle og pakke stjålne oplysninger på meget kort tid, noget der er særligt attraktivt for spionagekampagner og kryptovaluta-tyveri.
Sådan fungerer angrebet: fra Safari til iOS-kernen
DarkSword fungerer ved at udnytte en række sikkerhedssårbarheder, der er forbundet efter hinanden. Det primære indgangspunkt er Safari-browser eller enhver komponent, der gengiver webindhold. Når en kompromitteret side indlæses, udføres kode, der er specifikt designet til at udnytte sårbarheder i JavaScript-motoren og andre browserkomponenter.
Når den første fase er vellykket, fortsætter udnyttelsen til dybere lag af systemet og udnytter yderligere sårbarheder, indtil den opnår kodeudførelse med forhøjede rettighederMed det adgangsniveau kan angriberen læse interne databaser, udtrække adgangskodenøgleringer, gennemgå samtaler og konsultere filer, der normalt er beskyttet, selv fra brugerens egne apps.
Tilgangen er af typen fileløsMed andre ord undgår DarkSword at installere synlige applikationer eller persistente filer. I stedet kaprer den operativsystemprocesser, udfører ondsindede kommandoer fra hukommelsen og sletter alle spor inden for få minutter. Denne "hit and run"-adfærd gør det ekstremt vanskeligt at opdage det, selv for specialiserede løsninger, fordi der efter en genstart af en telefon næsten ikke er nogen tydelige tegn på indtrængen.
Denne driftsmetode minder om klassiske teknikker, der anvendes i avancerede computerangreb, men tilpasset Apples økosystem. Faktisk understreger forskerne, at Der blev ikke observeret nogen sædvanlige indikatorer for resident spywareDette ændrer spillets regler betydeligt for dem, der er vant til at lede efter mistænkelige apps på deres enhed.
Berørte iOS-versioner og global rækkevidde
De første bølger af DarkSword var primært rettet mod iPhones med iOS 18Rapporter fra Google, Lookout og iVerify peger konsekvent på versioner mellem iOS 18.4 og iOS 18.6.2 som den mest tydeligt kompromitterede i de fundne kampagner. Nogle analyser nævner også den delvise rettelse i iOS 18.7.2, mens andre placerer den fuldstændige lukning af sårbarheden i iOS 26 og nyere.
Under alle omstændigheder er billedet, som dataene tegner, klart: Et meget stort antal enheder kører stadig iOS 18Dette skyldes enten, at deres ejere ikke har opgraderet til de nyeste versioner, eller fordi de foretrækker at undgå ændringer i brugerfladen. Denne situation påvirker ikke kun brugere i konfliktzoner, men også millioner af mennesker i EU og Spanien, der bruger deres iPhones dagligt til bankforretninger, digital identifikation eller elektroniske signaturer.
Forskere har dokumenteret brugen af DarkSword siden mindst sidst i 2025Selvom den første opdagelse fandt sted i ukrainske områder, blev der hurtigt opdaget kampagner mod mål i [uspecificeret]. Saudi-Arabien, Türkiye og MalaysiaI flere af disse tilfælde var udnyttelsen indlejret på legitime websteder, såsom nyhedsportaler eller administrative websteder, og udnyttede deres gode omdømme til at gå ubemærket hen.
I Europa er risikoen mere indirekte, men ikke mindre betydelig: Enhver bruger, der besøger kompromitterede sider, der hostes uden for Europa, eller som opretter forbindelse via internationale netværk, kan ende med at downloade den skadelige kode. Desuden øger det faktum, at DarkSword er et genanvendeligt kit, sandsynligheden for, at det i sidste ende vil blive integreret i [uklar/uklar]. bredere cyberkriminalitetskampagner, herunder dem, der har til formål at stjæle online bankkonti og kryptovaluta-tegnebøger, der bruges af europæiske borgere.
Hvem står bag DarkSword, og hvad er deres forhold til Coruna?
En central del af forståelsen af DarkSwords indflydelse er dens kontekst. Tidligere på måneden offentliggjorde det samme Google- og iVerify-team et andet angrebskit på højt niveau kendt som Corunai stand til at kompromittere iPhones fra iOS 13 til iOS 17.2.1 gennem 23 sammenkædede sårbarheder. Begge exploit-pakker optrådte på den samme serverinfrastrukturDette peger på en fælles kilde eller i det mindste på samarbejde mellem flere aktører.
En del af dette arsenal menes at stamme fra markedet for udnyttelse af statslige enheder. Tidligere undersøgelser nævner sagen om et tidligere medlem af Trenchant-divisionen, tilhørende forsvarsentreprenøren L3Harris, som indrømmede at have... solgte en række sårbarheder til en russisk mellemmand kendt som Operation Zero. Derfra ville udnyttelseskæderne være gået fra statens hænder til mindre samvittighedsfulde kriminelle grupper.
I tilfældet med DarkSword hævder Google at have observeret dets brug af kommercielle overvågningsudbydere og af påståede hackere med tilknytning til statslige efterretningstjenester. En af kampagnerne involverer specifikt PARS Defense, et tyrkisk kommercielt overvågningsfirma, i angreb rettet mod steder i Tyrkiet og Malaysia.
Der er også forbindelser til Rusland. En del af koden blev implementeret i kompromitterede ukrainske webstederOg forskerne taler om operatører med forbindelse til russiske interesser, som angiveligt genbrugte angrebet til at kombinere politisk spionage og økonomisk gevinst. Den mest slående detalje er, at DarkSword-koden dukkede op på nogle servere. uden forvirring og med forklarende kommentarer på engelskDette gør det nemmere for andre ondsindede aktører at kopiere det, tilpasse det og lancere nye kampagner.
Den næsten samtidige udgivelse af Coruna og DarkSword illustrerer, i hvilket omfang markedet for iOS-indbrudsværktøjer ændrer sig. Det, der engang var "snigskyttevåben" forbeholdt målrettede operationer mod specifikke mål, forvandles nu til et ... arsenal af massebrug, med en potentiel rækkevidde, der rækker langt ud over diplomatiske eller militære kredse.
Hvilke oplysninger kan DarkSword stjæle fra en iPhone?
Tekniske rapporter er enige om, at DarkSword har kapacitet til at udtrække en meget bred vifte af følsomme data. Når indtrængen er fuldført, kan moduler efter udnyttelsen få adgang til gemte adgangskoder, godkendelsestokens og legitimationsoplysninger til cloudtjenesterDisse omfatter e-mailkonti, sociale medier og adgang til finansielle tjenester.
Inden for kommunikation er sættet forberedt til at indsamle beskeder og logfiler fra iMessage, WhatsApp og Telegramsåvel som andre beskedapplikationer, der er afhængige af de samme interne databaser. Dette muliggør rekonstruktion af tidligere samtaler, indhentning af telefonnumre og metadata om, hvem der tales med, og hvor ofte.
DarkSword er også rettet mod de mere personlige aspekter af enheden: fotos, videoer, browserhistorik, noter, kalender og data fra sundhedsappenDette er ikke blot et abstrakt privatlivsspørgsmål; i mange tilfælde giver disse data mulighed for profilering af daglige rutiner, vaner, omtrentlig placering og endda oplysninger om helbredstilstand, noget der er særligt følsomt under strenge europæiske databeskyttelsesregler.
Et prioriteret mål er kryptovaluta-tegnebøger og andre digitale aktiverMalwaren er specifikt rettet mod legitimationsoplysninger og nøgler forbundet med tegnebøger, udvekslingsplatforme og finansielle applikationer. Forskere har dokumenteret kampagner, hvor DarkSword-operatører brugte falske kryptovalutawebsteder til at fremme tyveri af midler og dermed kombinerede spionage og økonomisk kriminalitet.
Alt dette sker på relativt kort tid. Det "filløse" design muliggør hurtige angreb, hvor spywaren indsamler så mange oplysninger som muligt i de første par minutter efter infektion og derefter... renser en god del af sine fodsporDette reducerer sandsynligheden for, at brugeren vil bemærke noget usædvanligt ved telefonens opførsel.
Beskyttelsesforanstaltninger: opdateringer, isolationstilstand og bedste praksis
Stillet over for et greb af denne størrelsesorden er den primære forsvarslinje, så simpelt som det lyder, Hold din iPhone opdateretApple har rettet de underliggende sårbarheder i flere omgange: først med specifikke sikkerhedsopdateringer til iOS 18, derefter med programrettelser som iOS 18.7.2, og endelig med at lukke hullerne i den nyere iOS 26-serie.
I praksis er anbefalingen til enhver bruger i Spanien eller resten af Europa at tilgå Indstillinger> Generelt> Softwareopdatering og bekræft, at enheden kører den nyeste version, der er tilgængelig for dens model. Hvis iPhone kan opdateres til iOS 26, er det bedst at gøre det så hurtigt som muligt. For enheder, der stadig kører iOS 18, er det vigtigt at installere alle sikkerhedsrettelser, der er udgivet af Apple.
Et andet relevant forsvarslag er LåsetilstandDenne tilstand, der oprindeligt var designet til højrisikobrugere – journalister, aktivister, embedsmænd – har vist sig effektiv til at blokere eller i det mindste betydeligt hindre udnyttelsesnetværk som dem, der bruges af DarkSword og Coruna. Faktisk vælger nogle af disse kits at afbryde indtrængen, hvis de registrerer, at enheden er i denne tilstand, for at undgå at efterlade spor, der kan lette efterforskningen.
Ud over opdateringer og avancerede funktioner er der en række bedste praksisser, der stadig er gyldige. Selvom det i denne specifikke kampagne er tilfældet Der er ingen grund til at klikke på mærkelige links For at undgå infektion anbefales det at begrænse eksponeringen ved kun at besøge betroede websteder, undgå ukrypterede offentlige Wi-Fi-netværk og regelmæssigt gennemgå systemets privatlivs- og sikkerhedsindstillinger.
For brugere, der håndterer store mængder følsomme data eller digitale aktiver, kan det give mening at stole på specialiserede overvågningsværktøjer såsom dem, der tilbydes af virksomheder i mobilsikkerhedssektoren. De er ikke en magisk løsning – især ikke med sådanne snigende angreb – men de kan hjælpe med at opdage unormal adfærd eller sårbare konfigurationer.
DarkSword-sagen har også tjent som en påmindelse til mange iPhone-ejere i Europa om, at sikkerhed, der er klar til brug, ikke er idiotsikker. iOS er fortsat en af de mest robuste mobilplatforme, men trusler på statsniveau og markeder med højt budget De når et niveau af sofistikering, der kræver ekstrem forsigtighed og at sikkerhedsopdateringer tages meget alvorligt.
