Το DarkSword στοχεύει στα iPhone με iOS 18 (iOS 18.4 έως iOS 18.6.2) για να τα χακάρει και επιτρέπει στους χρήστες να υποκλέπτουν προσωπικά δεδομένα αφού κάνουν κλικ σε έναν κακόβουλο σύνδεσμο στο Safari. Χρησιμοποιείται ήδη από Ρώσους χάκερ, σύμφωνα με την Google Threat Intelligence Group, και το εργαλείο ώθησε την Apple να διορθώσει τα τρωτά σημεία και να κυκλοφορήσει μια επείγουσα ενημέρωση για ορισμένα παλαιότερα μοντέλα.
Η Ομάδα Πληροφόρησης Απειλών της Google ανέλυσε την επίθεση με τα Lookout και iVerify και εκτίμησε ότι έως και 270 εκατομμύρια iPhone ενδέχεται να εξακολουθούν να επηρεάζονται εάν εκτελούνται με τις επηρεαζόμενες εκδόσεις του iOS 18. Η αλυσίδα εκμετάλλευσης βασίζεται σε έξι ευπάθειες ασφαλείας και ενεργοποιείται όταν ένας χρήστης ανοίγει έναν παραβιασμένο ιστότοπο.
Το σαφάρι στην καρδιά της επίθεσης
Το σημείο εισόδου είναι μέσω του Safari, και στη συνέχεια το DarkSword παρέχει πρόσβαση σε μια πληθώρα ευαίσθητων δεδομένων που είναι αποθηκευμένα στο iPhone. Οι χάκερ μπορούν να ανακτήσουν μηνύματα, επαφές, αποθηκευμένα αναγνωριστικά/κωδικούς πρόσβασης, αρχεία iCloud, φωτογραφίες, πορτοφόλια κρυπτονομισμάτων, αρχεία καταγραφής κλήσεων και ιστορικό τοποθεσίας.
Το Lookout παρουσιάζει το DarkSword ως μια αρχιτεκτονική stealth επίθεσης σχεδιασμένη να εξάγει πολύτιμες πληροφορίες και στη συνέχεια να εξαφανίζεται πριν αντιδράσουν οι παραδοσιακές μέθοδοι ανίχνευσης. Αυτός ο μηχανισμός αλλάζει το επίκεντρο της ενημέρωσης: δεν πρόκειται μόνο για την επιδιόρθωση μιας ευπάθειας, αλλά και για το κλείσιμο ενός σημείου εισόδου που ήδη εκμεταλλεύονται οι χάκερ.
Η Google ανέφερε τα τρωτά σημεία στην Apple στα τέλη του 2025. Ο κατασκευαστής iPhone επιβεβαίωσε ότι διόρθωσε όλα τα υποκείμενα τρωτά σημεία στο iOS 26 πέρυσι και στη συνέχεια κυκλοφόρησε μια επείγουσα ενημέρωση την περασμένη εβδομάδα για παλαιότερα iPhone που δεν μπορούσαν να εγκαταστήσουν το iOS 26.
Μια τεχνική hacking που χρησιμοποιείται ήδη από Ρώσους χάκερ
Η Google ισχυρίζεται ότι Ρώσοι χάκερ, για τους οποίους υπάρχουν υποψίες ότι υποστηρίζονται από τη Ρωσία, χρησιμοποίησαν το DarkSword εναντίον χρηστών στην Ουκρανία, τη Σαουδική Αραβία, τη Μαλαισία και την Τουρκία. Οι ίδιοι δράστες χρησιμοποίησαν επίσης το Coruna , ένα άλλο κιτ εργαλείων hacking iPhone που η Apple πρόσφατα ενημέρωσε με τα iOS 16.7.15 και iOS 15.8.7 .
Ο κίνδυνος δεν περιορίζεται πλέον στην αρχικά αναγνωρισμένη ομάδα. Το iVerify επισημαίνει ότι ο κώδικας του DarkSword παρέμεινε απροστάτευτος και εύκολα προσβάσιμος, γεγονός που θα μπορούσε να διευκολύνει την ανάκτηση και την εκ νέου ανάπτυξή του από άλλους κακόβουλους παράγοντες.
Ωστόσο, από την ανάλυση προκύπτουν δύο μέτρα ασφαλείας. Η επίθεση δεν επηρεάζει τους χρήστες που έχουν ενεργοποιημένη τη Λειτουργία Απομόνωσης στα iPhone, μια «ακραία» λειτουργία ασφαλείας που προορίζεται κυρίως για δημοσιογράφους, ακτιβιστές και πολιτικούς που στοχεύονται από συγκεκριμένες επιθέσεις. Η Apple και η Google έχουν επίσης μπλοκάρει τους κακόβουλους συνδέσμους στο Safari και το Chrome που χρησιμοποιούνται σε επιθέσεις DarkSword.
