Sårbarheten kjent som Mørkt Sverd Det har blitt en av de mest alvorlige sikkerhetshendelsene som nylig har rammet iPhoner. Forskere fra Google, iVerify og Lookout har dokumentert hvordan dette settet med nullklikksutnyttelser Den lar deg ta kontroll over enheter med iOS 18 ganske enkelt ved å laste inn en infisert nettside, uten at personen trenger å trykke på noe eller åpne mistenkelige lenker.
Saken har fått alarmklokkene til å ringe i det europeiske nettsikkerhetsmiljøet, fordi hundrevis av millioner iPhoner Sårbare versjoner av iOS 18 kjører fortsatt rundt om i verden. Selv om Apple allerede har gitt ut feilrettinger og nødoppdateringer, går adopsjonen av de nyeste versjonene saktere enn forventet, delvis på grunn av tvil om hvordan administrere plass, som opprettholder en betydelig angrepsflate både i Europa og i andre markeder.
Hva er egentlig DarkSword, og hvorfor skaper det så mye bekymring?
DarkSword er ikke en enkel isolert feil, men en komplett angrepssett for iOS Utviklet for å kompromittere iPhoner uten brukermedvirkning. Teknisk analyse viser at verktøyet kjeder seg rundt seks nulldagssårbarheter å gå fra Safari-nettleseren til selve operativsystemkjernen, og få nok rettigheter til å få tilgang til praktisk talt all informasjonen på enheten.
Den opprinnelige kampanjen ble oppdaget i Dusinvis av legitime ukrainske nettsteder som hadde blitt manipulert. Bare det å åpne en av disse sidene fra en infisert iPhone var nok til å utløse angrepskjeden i bakgrunnen. Derfra kunne DarkSword lese iMessage-, WhatsApp- og Telegram-meldinger, se nettleserloggen, vise notater, kalenderhendelser eller til og med få tilgang til poster fra Apples Helse-app.
Et av elementene som bekymrer forskerne mest er at angrepet har blitt implementert i stor skala og ikke bare mot høyprofilerte mål. Ifølge data samlet inn av iVerify og Lookout, mellom 220 og 270 millioner iPhoner De fortsetter å bruke sårbare versjoner av iOS 18, som i praksis representerer rundt 14–25 % av den aktive iPhone-flåten.
Videre er DarkSword avhengig av en arkitektur av moduler etter utnyttelse – referert til av analytikere med kodenavn som GHOSTBLADE, GHOSTKNIFE eller GHOSTSABER— som er ansvarlige for å samle inn og pakke stjålet informasjon på svært kort tid, noe som er spesielt attraktivt for spionasjekampanjer og kryptovaluta-tyveri.
Hvordan angrepet fungerer: fra Safari til iOS-kjernen
DarkSword opererer ved å utnytte en rekke sikkerhetssårbarheter som er koblet sammen etter hverandre. Det primære inngangspunktet er Safari-nettleser eller en hvilken som helst komponent som gjengir nettinnhold. Når en kompromittert side lastes inn, kjøres kode som er spesielt utviklet for å utnytte sårbarheter i JavaScript-motoren og andre nettleserkomponenter.
Når den første fasen er vellykket, går utnyttelsen videre til dypere lag i systemet, og utnytter ytterligere sårbarheter inntil den oppnår kodeutførelse med forhøyede rettigheterMed det tilgangsnivået kan angriperen lese interne databaser, trekke ut passordnøkkelringer, gjennomgå samtaler og konsultere filer som normalt er beskyttet, selv fra brukerens egne apper.
Tilnærmingen er av typen fileløsMed andre ord unngår DarkSword å installere synlige applikasjoner eller vedvarende filer. I stedet kaprer den operativsystemprosesser, utfører ondsinnede kommandoer fra minnet og sletter alle spor i løpet av minutter. Denne «hit and run»-oppførselen gjør det ekstremt vanskelig å oppdage, selv for spesialiserte løsninger, fordi det etter en omstart av telefonen knapt er noen tydelige tegn på inntrengingen.
Denne operasjonsmetoden minner om klassiske teknikker som brukes i avanserte dataangrep, men tilpasset Apples økosystem. Forskerne understreker faktisk at Ingen vanlige indikatorer på resident spionprogramvare ble observertDette endrer spillereglene betraktelig for de som er vant til å lete etter mistenkelige apper på enheten sin.
Berørte iOS-versjoner og global rekkevidde
De første bølgene av DarkSword var først og fremst rettet mot iPhoner med iOS 18Rapporter fra Google, Lookout og iVerify peker konsekvent på versjoner mellom iOS 18.4 og iOS 18.6.2 som den mest tydelig kompromitterte i de oppdagede kampanjene. Noen analyser nevner også den delvise rettelsen i iOS 18.7.2, mens andre plasserer den fullstendige lukkingen av sårbarheten i iOS 26 og nyere.
Uansett er bildet som dataene maler tydelig: Et svært høyt antall enheter kjører fortsatt iOS 18Dette er enten fordi eierne ikke har oppgradert til de nyeste versjonene, eller fordi de foretrekker å unngå grensesnittendringer. Denne situasjonen påvirker ikke bare brukere i konfliktsoner, men også millioner av mennesker i EU og Spania som bruker iPhonene sine daglig til banktjenester, digital identifikasjon eller elektroniske signaturer.
Forskere har dokumentert bruken av DarkSword siden minst sent 2025Selv om den første oppdagelsen skjedde i ukrainske domäner, ble kampanjer mot mål i [uspesifisert] snart oppdaget. Saudi-Arabia, Türkiye og MalaysiaI flere av disse tilfellene var utnyttelsen innebygd i legitime nettsteder, som nyhetsportaler eller administrative nettsteder, og utnyttet deres gode rykte til å gå ubemerket hen.
I Europa er risikoen mer indirekte, men ikke mindre betydelig: enhver bruker som besøker kompromitterte sider som ligger utenfor Europa, eller som kobler seg til via internasjonale nettverk, kan ende opp med å laste ned den skadelige koden. Videre øker det faktum at DarkSword er et gjenbrukbart sett sannsynligheten for at det til slutt vil bli integrert i [uklart/uklart]. bredere kampanjer mot nettkriminalitet, inkludert de som har som mål å stjele nettbankkontoer og kryptovaluta-lommebøker som brukes av europeiske borgere.
Hvem står bak DarkSword, og hva er deres forhold til Coruna?
En viktig del av forståelsen av DarkSwords innvirkning er konteksten. Tidligere denne måneden offentliggjorde det samme Google- og iVerify-teamet et annet angrepssett på høyt nivå kjent som Corunai stand til å kompromittere iPhones fra iOS 13 til iOS 17.2.1 gjennom 23 sammenkoblede sårbarheter. Begge angrepspakkene dukket opp på samme serverinfrastrukturDette peker mot en felles kilde eller i det minste mot samarbeid mellom flere aktører.
En del av dette arsenalet antas å ha sin opprinnelse i markedet for statlige utnyttelsesvåpen. Tidligere undersøkelser nevner saken om et tidligere medlem av Trenchant-divisjonen, tilhørende forsvarsentreprenøren L3Harris, som innrømmet å ha solgte en rekke sårbarheter til en russisk mellommann kjent som Operasjon Null. Derfra ville utnyttelseskjedene ha gått fra statlige hender til mindre samvittighetsfulle kriminelle grupper.
Når det gjelder DarkSword, hevder Google å ha observert bruken av det av kommersielle overvåkingsleverandører og av påståtte hackere knyttet til statlige etterretningstjenester. En av kampanjene involverer spesifikt PARS Defense, et tyrkisk kommersielt overvåkingsselskap, i angrep rettet mot steder i Tyrkia og Malaysia.
Lenker til Russland finnes også. En del av koden ble distribuert i kompromitterte ukrainske nettstederOg forskerne snakker om operatører knyttet til russiske interesser som angivelig gjenbrukte angrepet for å kombinere politisk spionasje og økonomisk vinning. Den mest slående detaljen er at DarkSword-koden dukket opp på noen servere. uten forvirring og med forklarende kommentarer på engelskDette gjør det enklere for andre ondsinnede aktører å kopiere det, tilpasse det og lansere nye kampanjer.
Den nesten samtidige utgivelsen av Coruna og DarkSword illustrerer i hvilken grad markedet for iOS-inntrengingsverktøy endrer seg. Det som en gang var «snikskyttervåpen» forbeholdt målrettede operasjoner mot spesifikke mål, forvandles nå til et arsenal av massebruk, med en potensiell rekkevidde som strekker seg langt utover diplomatiske eller militære kretser.
Hvilken informasjon kan DarkSword stjele fra en iPhone?
Tekniske rapporter er enige om at DarkSword har kapasitet til å trekke ut et svært bredt spekter av sensitive data. Når innbruddet er fullført, kan moduler etter utnyttelsen få tilgang til lagrede passord, autentiseringstokener og påloggingsinformasjon for skytjenesterDisse inkluderer e-postkontoer, sosiale medier og tilgang til finansielle tjenester.
Innen kommunikasjonsfeltet er settet forberedt på å samle meldinger og logger fra iMessage, WhatsApp og Telegramså vel som andre meldingsapplikasjoner som er avhengige av de samme interne databasene. Dette muliggjør rekonstruksjon av tidligere samtaler, innhenting av telefonnumre og metadata om hvem som blir snakket med og hvor ofte.
DarkSword retter seg også mot de mer personlige aspektene ved enheten: bilder, videoer, nettleserlogg, notater, kalender og data fra helseappenDette er ikke bare et abstrakt personvernspørsmål; i mange tilfeller tillater disse dataene profilering av daglige rutiner, vaner, omtrentlig plassering og til og med informasjon om helsetilstand, noe som er spesielt sensitivt under strenge europeiske personvernregler.
Et prioritert mål er kryptovaluta-lommebøker og andre digitale eiendelerSkadevaren retter seg spesifikt mot påloggingsinformasjon og nøkler knyttet til lommebøker, utvekslingsplattformer og finansielle applikasjoner. Forskere har dokumentert kampanjer der DarkSword-operatører brukte falske kryptovalutanettsteder for å legge til rette for tyveri av penger, og dermed kombinerte spionasje og økonomisk kriminalitet.
Alt dette gjøres på relativt kort tid. Den «filløse» designen muliggjør raske angrep, der spionprogrammet samler inn så mye informasjon som mulig i løpet av de første minuttene etter infeksjon, og deretter... renser opp en god del av fotavtrykkene sineDette reduserer sannsynligheten for at brukeren vil legge merke til noe uvanlig med telefonens oppførsel.
Beskyttelsestiltak: oppdateringer, isolasjonsmodus og beste praksis
Stilt overfor et skue av denne størrelsesordenen er hovedforsvarslinjen, så enkelt som det høres ut, Hold iPhonen din oppdatertApple har rettet opp de underliggende sårbarhetene i flere runder: først med spesifikke sikkerhetsoppdateringer for iOS 18, deretter med oppdateringer som iOS 18.7.2, og til slutt med å tette hullene i den nyere iOS 26-serien.
I praksis er anbefalingen for alle brukere i Spania eller resten av Europa å bruke Innstillinger> Generelt> Programvareoppdatering og bekreft at enheten kjører den nyeste versjonen som er tilgjengelig for modellen. Hvis iPhone kan oppdateres til iOS 26, er det best å gjøre det så snart som mulig. For enheter som fortsatt kjører iOS 18, er det viktig å installere alle sikkerhetsoppdateringer utgitt av Apple.
Et annet relevant forsvarslag er LåsemodusDenne modusen, som opprinnelig ble utviklet for høyrisikobrukere – journalister, aktivister og offentlige tjenestemenn – har vist seg effektiv til å blokkere eller i det minste betydelig hindre utnyttelsesnettverk som de som brukes av DarkSword og Coruna. Faktisk velger noen av disse settene å avbryte inntrengingen hvis de oppdager at enheten er i denne modusen, for å unngå å etterlate spor som kan lette etterforskningen.
Utover oppdateringer og avanserte funksjoner, finnes det en rekke gode fremgangsmåter som fortsatt er gyldige. Selv om det gjelder i denne spesifikke kampanjen Det er ikke nødvendig å klikke på merkelige lenker For å unngå smitte anbefales det å begrense eksponeringen ved kun å besøke pålitelige nettsteder, unngå ukrypterte offentlige Wi-Fi-nettverk og regelmessig gjennomgå systemets personvern- og sikkerhetsinnstillinger.
For brukere som håndterer store mengder sensitive data eller digitale eiendeler, kan det være fornuftig å stole på spesialiserte overvåkingsverktøy slik som de som tilbys av selskaper i mobilsikkerhetssektoren. De er ikke en magisk løsning – spesielt ikke med slike snikende angrep – men de kan bidra til å oppdage unormal oppførsel eller sårbare konfigurasjoner.
DarkSword-saken har også tjent som en påminnelse for mange iPhone-eiere i Europa om at standard sikkerhet ikke er idiotsikker. iOS er fortsatt en av de mest robuste mobilplattformene, men trusler på statsnivå og markeder med høyt budsjett for utnyttelse De når et nivå av raffinement som krever ekstrem forsiktighet og at man tar sikkerhetsoppdateringer svært alvorlig.
