Sårbarheten som kallas Mörkt Svärd Det har blivit en av de allvarligaste säkerhetsincidenterna som nyligen drabbat iPhones. Forskare från Google, iVerify och Lookout har dokumenterat hur denna uppsättning nollklick-exploits Det gör det möjligt att ta kontroll över enheter med iOS 18 genom att helt enkelt ladda en infekterad webbsida, utan att personen behöver trycka på något eller öppna misstänkta länkar.
Fallet har fått varningsklockorna att ringa i den europeiska cybersäkerhetsgemenskapen, eftersom hundratals miljoner iPhones Sårbara versioner av iOS 18 körs fortfarande runt om i världen. Även om Apple redan har släppt korrigeringar och nödpatchar, är implementeringen av de senaste versionerna långsammare än väntat, delvis på grund av tvivel om hur hantera utrymme, som upprätthåller en avsevärd attackyta både i Europa och på andra marknader.
Vad är DarkSword egentligen och varför orsakar det så mycket oro?
DarkSword är inte en enkel isolerad brist, utan en komplett attackkit för iOS Utformad för att kompromettera iPhones utan användarinteraktion. Teknisk analys visar att verktyget kedjar runt sex nolldagssårbarheter att gå från Safari-webbläsaren till själva operativsystemets kärna och få tillräckligt med behörigheter för att komma åt praktiskt taget all information på enheten.
Den ursprungliga kampanjen upptäcktes i Dussintals legitima ukrainska webbplatser som hade manipulerats. Att bara öppna en av dessa sidor från en infekterad iPhone räckte för att utlösa attackkedjan i bakgrunden. Därifrån kunde DarkSword läsa iMessage-, WhatsApp- och Telegram-meddelanden, granska webbhistorik, visa anteckningar, kalenderhändelser eller till och med komma åt poster från Apples Hälsoapp.
En av de faktorer som oroar forskare mest är att attacken har genomförts i stor skala och inte bara mot högprofilerade mål. Enligt data som samlats in av iVerify och Lookout, mellan 220 och 270 miljoner iPhones De fortsätter att använda sårbara versioner av iOS 18, vilket i praktiken representerar cirka 14–25 % av den aktiva iPhone-flottan.
Dessutom förlitar sig DarkSword på en arkitektur av moduler efter utnyttjande – som analytiker kallar för med kodnamn som SPÖKBLAD, SPÖKKNIV eller SPÖKSABEL— som ansvarar för att samla in och paketera stulen information på mycket kort tid, något som är särskilt attraktivt för spionagekampanjer och kryptovalutastöld.
Hur attacken fungerar: från Safari till iOS-kärnan
DarkSword fungerar genom att utnyttja en kedja av säkerhetsbrister som är länkade efter varandra. Den primära ingångspunkten är Safari-webbläsare eller någon komponent som renderar webbinnehåll. När en komprometterad sida laddas körs kod som är specifikt utformad för att utnyttja sårbarheter i JavaScript-motorn och andra webbläsarkomponenter.
När den första fasen är framgångsrik fortsätter exploiteringen till djupare lager av systemet och utnyttjar ytterligare sårbarheter tills den uppnår kodkörning med förhöjda rättigheterMed den åtkomstnivån kan angriparen läsa interna databaser, extrahera lösenordsnyckelringar, granska konversationer och konsultera filer som normalt är skyddade även från användarens egna appar.
Tillvägagångssättet är av typen fillösMed andra ord undviker DarkSword att installera synliga applikationer eller permanenta filer. Istället kapar det operativsystemprocesser, kör skadliga kommandon från minnet och raderar alla spår inom några minuter. Detta "hit and run"-beteende gör upptäckten extremt svår, även för specialiserade lösningar, eftersom det efter en omstart av telefonen knappast finns några tydliga tecken på intrånget.
Denna arbetssätt påminner om klassiska tekniker som används i avancerade datorattacker, men anpassade till Apples ekosystem. Forskarna betonar faktiskt att Inga vanliga tecken på inbyggt spionprogram observeradesDetta förändrar spelreglerna avsevärt för de som är vana vid att leta efter misstänkta appar på sin enhet.
Berörda iOS-versioner och global räckvidd
De första vågorna av DarkSword var främst riktade mot iPhones med iOS 18Rapporter från Google, Lookout och iVerify pekar konsekvent på versioner mellan iOS 18.4 och iOS 18.6.2 som den tydligast komprometterade sårbarheten i de upptäckta kampanjerna. Vissa analyser nämner även den delvisa åtgärden i iOS 18.7.2, medan andra placerar den fullständiga åtgärden av sårbarheten i iOS 26 och senare.
I vilket fall som helst är bilden som målas upp av uppgifterna tydlig: En mycket stor mängd enheter kör fortfarande iOS 18Detta beror antingen på att deras ägare inte har uppgraderat till de senaste versionerna eller på att de föredrar att undvika gränssnittsändringar. Denna situation drabbar inte bara användare i konfliktzoner, utan även miljontals människor i Europeiska unionen och Spanien som använder sina iPhones dagligen för bankärenden, digital identifiering eller elektroniska signaturer.
Forskare har dokumenterat användningen av DarkSword sedan åtminstone sent 2025Även om den första upptäckten inträffade i ukrainska domäner, upptäcktes snart kampanjer mot mål i [ospecificerad]. Saudiarabien, Turkiet och MalaysiaI flera av dessa fall var utnyttjandet inbäddat på legitima webbplatser, såsom nyhetsportaler eller administrativa webbplatser, och utnyttjade deras goda rykte för att gå obemärkt förbi.
I Europa är risken mer indirekt men inte mindre betydande: alla användare som besöker komprometterade sidor utanför Europa, eller som ansluter via internationella nätverk, kan ladda ner den skadliga koden. Dessutom ökar det faktum att DarkSword är ett återanvändbart kit sannolikheten för att det så småningom kommer att integreras i [oklart/oklart]. bredare cyberbrottskampanjer, inklusive de som syftar till att stjäla onlinebankkonton och kryptovalutaplånböcker som används av europeiska medborgare.
Vilka står bakom DarkSword och vad är deras relation med Coruna?
En viktig del för att förstå DarkSwords inverkan är dess sammanhang. Tidigare denna månad offentliggjorde samma Google- och iVerify-team ett annat attackkit på hög nivå, känt som corunakapabel att kompromettera iPhones från iOS 13 till iOS 17.2.1 genom 23 kedjade sårbarheter. Båda exploitpaketen dök upp på samma serverinfrastrukturDetta pekar på en gemensam källa eller åtminstone på samarbete mellan flera aktörer.
En del av denna arsenal tros ha sitt ursprung i marknaden för statligt använt vapen. Tidigare utredningar nämner fallet med en tidigare medlem av Trenchant-divisionen, tillhörande försvarsentreprenören L3Harris, som erkände att han hade sålde en rad sårbarheter till en rysk mellanhand känd som Operation Noll. Därifrån skulle exploateringskedjorna ha gått från statliga händer till mindre samvetsgranna kriminella grupper.
När det gäller DarkSword hävdar Google att de har observerat dess användning av kommersiella övervakningsleverantörer och av påstådda hackare kopplade till statliga underrättelsetjänster. En av kampanjerna involverar specifikt PARS Defense, ett turkiskt kommersiellt övervakningsföretag, i attacker riktade mot platser i Turkiet och Malaysia.
Länkar till Ryssland finns också. En del av koden distribuerades i komprometterade ukrainska webbplatserOch forskarna talar om operatörer med kopplingar till ryska intressen som påstås ha återanvänt attacken för att kombinera politisk spionage och ekonomisk vinning. Den mest slående detaljen är att DarkSword-koden dök upp på vissa servrar. utan förvirring och med förklarande kommentarer på engelskaDetta gör det lättare för andra illvilliga aktörer att kopiera det, anpassa det och lansera nya kampanjer.
Den nästan samtidiga lanseringen av Coruna och DarkSword illustrerar i vilken utsträckning marknaden för intrångsverktyg i iOS förändras. Det som en gång var "krypskyttvapen" reserverade för riktade operationer mot specifika mål förvandlas nu till ett ... arsenal av massanvändning, med en potentiell räckvidd som sträcker sig långt bortom diplomatiska eller militära kretsar.
Vilken information kan DarkSword stjäla från en iPhone?
Tekniska rapporter är överens om att DarkSword har kapacitet att extrahera ett mycket brett spektrum av känslig data. När intrånget är klart kan moduler efter utnyttjandet komma åt lagrade lösenord, autentiseringstokens och inloggningsuppgifter för molntjänsterDessa inkluderar e-postkonton, sociala medier och tillgång till finansiella tjänster.
Inom kommunikationsområdet är kitet förberett för att samla in meddelanden och loggar från iMessage, WhatsApp och Telegramsåväl som andra meddelandeapplikationer som förlitar sig på samma interna databaser. Detta möjliggör rekonstruktion av tidigare samtal, erhållande av telefonnummer och metadata om vem som talas med och hur ofta.
DarkSword riktar sig även mot enhetens mer personliga aspekter: foton, videor, webbhistorik, anteckningar, kalender och data från hälsoappenDetta är inte bara en abstrakt integritetsfråga; i många fall möjliggör dessa uppgifter profilering av dagliga rutiner, vanor, ungefärlig plats och till och med information om hälsostatus, något som är särskilt känsligt enligt strikta europeiska dataskyddsregler.
Ett prioriterat mål är kryptovalutaplånböcker och andra digitala tillgångarSkadlig programvara riktar sig specifikt mot inloggningsuppgifter och nycklar kopplade till plånböcker, utbytesplattformar och finansiella applikationer. Forskare har dokumenterat kampanjer där DarkSword-operatörer använde bedrägliga kryptovalutasajter för att underlätta stöld av pengar, och därmed kombinerade spionage och ekonomisk brottslighet.
Allt detta görs på relativt kort tid. Den "fillösa" designen underlättar snabba attacker, där spionprogrammet samlar in så mycket information som möjligt under de första minuterna efter infektion och sedan... städar upp en stor del av sina fotspårDetta minskar sannolikheten för att användaren märker något ovanligt med telefonens beteende.
Skyddsåtgärder: uppdateringar, isoleringsläge och bästa praxis
Inför ett dåd av denna omfattning är den huvudsakliga försvarslinjen, så enkelt som det låter, Håll din iPhone uppdateradApple har korrigerat de underliggande sårbarheterna i flera omgångar: först med specifika säkerhetsuppdateringar för iOS 18, sedan med patchar som iOS 18.7.2, och slutligen genom att täppa till luckorna i den nyare iOS 26-serien.
I praktiken är rekommendationen för alla användare i Spanien eller resten av Europa att använda Inställningar> Allmänt> Programuppdatering och verifiera att enheten kör den senaste versionen som är tillgänglig för sin modell. Om iPhone kan uppdateras till iOS 26 är det bäst att göra det så snart som möjligt. För enheter som fortfarande kör iOS 18 är det viktigt att installera alla säkerhetsuppdateringar som släppts av Apple.
Ett annat relevant försvarslager är Låst lägeDetta läge, som ursprungligen var utformat för högriskanvändare – journalister, aktivister, offentliga tjänstemän – har visat sig effektivt för att blockera eller åtminstone avsevärt hindra exploateringsnätverk som de som används av DarkSword och Coruna. Faktum är att vissa av dessa kit väljer att avbryta intrånget om de upptäcker att enheten är i detta läge, för att undvika att lämna spår som kan underlätta utredningen.
Utöver uppdateringar och avancerade funktioner finns det ett antal bästa praxis som fortfarande gäller. Även om det gäller just den här kampanjen Det finns ingen anledning att klicka på konstiga länkar För att undvika infektion är det lämpligt att begränsa exponeringen genom att endast besöka betrodda webbplatser, undvika okrypterade offentliga Wi-Fi-nätverk och regelbundet granska systemets sekretess- och säkerhetsinställningar.
För användare som hanterar stora volymer känslig data eller digitala tillgångar kan det vara klokt att förlita sig på specialiserade övervakningsverktyg såsom de som erbjuds av företag inom mobil säkerhetssektorn. De är inte en magisk lösning – särskilt inte med sådana smygande attacker – men de kan hjälpa till att upptäcka avvikande beteenden eller sårbara konfigurationer.
DarkSword-fallet har också fungerat som en påminnelse för många iPhone-ägare i Europa om att säkerhet direkt från lådan inte är idiotsäker. iOS är fortfarande en av de mest robusta mobilplattformarna, men hot på statsnivå och marknader med hög budget för utnyttjande De når en nivå av sofistikering som kräver extrem försiktighet och att man tar säkerhetsuppdateringar på största allvar.
