A sebezhetőség, amelyet úgy ismerünk, Sötét Kard Ez az egyik legsúlyosabb biztonsági incidens, amely az utóbbi időben az iPhone-okat érintette. A Google, az iVerify és a Lookout kutatói dokumentálták, hogyan hatott ez a rendszer... nulla kattintásos kihasználások Lehetővé teszi az iOS 18-as eszközök feletti irányítás átvételét egyszerűen egy fertőzött weboldal betöltésével, anélkül, hogy a felhasználónak bármit is meg kellene nyomnia vagy gyanús linkeket kellene megnyitnia.
Az eset vészharangokat kongatott az európai kiberbiztonsági közösségben, mivel több százmillió iPhone Az iOS 18 sebezhető verziói továbbra is futnak világszerte. Bár az Apple már kiadott javításokat és vészhelyzeti frissítéseket, a legújabb verziók bevezetése lassabb a vártnál, részben a rendszerrel kapcsolatos kételyek miatt. kezelni a helyet, amely fenntart egy jelentős támadási felület mind Európában, mind más piacokon.
Mi is pontosan a DarkSword, és miért okoz akkora aggodalmat?
A DarkSword nem egy egyszerű, elszigetelt hiba, hanem egy Teljes támadási készlet iOS-re Úgy tervezték, hogy felhasználói beavatkozás nélkül kompromittálják az iPhone-okat. A technikai elemzés azt mutatja, hogy az eszközláncok... hat nulladik napi sebezhetőség hogy a Safari böngészőből magába az operációs rendszer kernelébe jusson, elegendő jogosultságot szerezve ahhoz, hogy gyakorlatilag az eszközön található összes információhoz hozzáférjen.
Az eredeti kampányt itt észlelték: Több tucat legális ukrán weboldal amelyet manipuláltak. Egy fertőzött iPhone-ról elég volt elérni az egyik ilyen oldalt, hogy elindítsa a háttérben futó támadási láncolatot. Innen a DarkSword olvasni tudta az iMessage, WhatsApp és Telegram üzeneteket, áttekinthette a böngészési előzményeket, megtekinthette a jegyzeteket, a naptári eseményeket, sőt, hozzáférhetett az Apple Egészség alkalmazásának adataihoz is.
A kutatókat leginkább aggasztó tényezők egyike, hogy a támadást nagy léptékben hajtották végre, és nem csak magas rangú célpontok ellen irányultak. Az iVerify és a Lookout által gyűjtött adatok szerint... 220 és 270 millió iPhone között Továbbra is az iOS 18 sebezhető verzióit használják, ami a gyakorlatban az aktív iPhone-flottának körülbelül 14-25%-át teszi ki.
Továbbá a DarkSword egy utólagos kihasználás utáni modulok architektúrájára támaszkodik – amelyeket az elemzők olyan kódnevekkel emlegetnek, mint például SZELLEMPENGE, SZELLEMKÉS vagy SZELLEMKARDO– akik felelősek az ellopott információk nagyon rövid időn belüli gyűjtéséért és csomagolásáért, ami különösen vonzó a kémkedési kampányok számára, és kriptovaluta-lopás.
Hogyan működik a támadás: a Safaritól az iOS magjáig
A DarkSword egymás után kapcsolódó biztonsági réseket kihasználva működik. Az elsődleges belépési pont a Safari böngésző vagy bármely olyan komponens, amely webes tartalmat jelenít meg. Amikor egy feltört oldal betöltődik, kifejezetten a JavaScript motor és más böngészőösszetevők sebezhetőségeinek kihasználására tervezett kód fut le.
Miután az első fázis sikeres, a sérülékenység kihasználása a rendszer mélyebb rétegeibe jut, további sebezhetőségeket kihasználva, amíg el nem éri a következőt: kódfuttatás emelt jogosultságokkalEzzel a hozzáférési szinttel a támadó belső adatbázisokat olvashat, jelszókulcsokat kinyerhet, beszélgetéseket tekinthet át, és olyan fájlokat is megtekinthet, amelyek általában védettek, még a felhasználó saját alkalmazásaiból is.
A megközelítés olyan típusú, fájl nélküliMás szóval, a DarkSword kerüli a látható alkalmazások vagy állandó fájlok telepítését. Ehelyett eltéríti az operációs rendszer folyamatait, rosszindulatú parancsokat hajt végre a memóriából, és perceken belül törli az összes nyomot. Ez a „ráadásul menekülj” viselkedés rendkívül megnehezíti az észlelést, még a speciális megoldások számára is, mivel a telefon újraindítása után alig vannak egyértelmű jelek a behatolásról.
Ez a működési módszer a fejlett számítógépes támadásokban használt klasszikus technikákra emlékeztet, de az Apple ökoszisztémájához igazították. Valójában a kutatók hangsúlyozzák, hogy Nem észleltek a rezidens kémprogramokra utaló szokásos jeleketEz jelentősen megváltoztatja a játékszabályokat azok számára, akik megszokták, hogy gyanús alkalmazásokat keresnek az eszközükön.
Érintett iOS-verziók és globális elérhetőség
A DarkSword első hullámai elsősorban a következőkre irányultak: iOS 18 rendszerű iPhone-okA Google, a Lookout és az iVerify jelentései következetesen a ... és a ... közötti verziókra mutatnak. iOS 18.4 és iOS 18.6.2 mint a legegyértelműbben veszélyeztetett a felfedezett kampányokban. Egyes elemzések az iOS 18.7.2-es verzióban történt részleges javítást is megemlítik, míg mások a sebezhetőség teljes megszüntetését az iOS 26-os és újabb verziókra teszik.
Mindenesetre az adatok által festett kép egyértelmű: Nagyon sok eszközön még mindig fut az iOS 18Ez vagy azért van, mert a tulajdonosok nem frissítettek a legújabb verziókra, vagy azért, mert inkább elkerülik a felhasználói felület változásait. Ez a helyzet nemcsak a konfliktusövezetekben élő felhasználókat érinti, hanem az Európai Unióban és Spanyolországban élő több millió embert is, akik naponta használják iPhone-jukat banki ügyintézésre, digitális azonosításra vagy elektronikus aláírásra.
A kutatók legalább azóta dokumentálják a DarkSword használatát 2025 végeBár a kezdeti felfedezés ukrán területeken történt, a [meghatározatlan] területen lévő célpontok elleni kampányokat hamarosan észlelték. Szaúd-Arábia, Türkiye és MalajziaEzen esetek közül többben a támadást legitim weboldalakba, például hírportálokba vagy adminisztratív oldalakba ágyazták be, kihasználva azok jó hírnevét, hogy észrevétlen maradjon.
Európában a kockázat közvetettebb, de nem kevésbé jelentős: bármely felhasználó, aki Európán kívül üzemeltetett feltört oldalakat látogat, vagy nemzetközi hálózatokon keresztül csatlakozik, letöltheti a rosszindulatú kódot. Továbbá az a tény, hogy a DarkSword egy újrafelhasználható készlet, növeli annak valószínűségét, hogy végül beépül a [unclear/unclear] hálózatba. szélesebb körű kiberbűnözési kampányok, beleértve azokat is, amelyek az európai állampolgárok által használt online bankszámlák és kriptovaluta-tárcák ellopására irányultak.
Ki áll a DarkSword mögött, és milyen a kapcsolatuk a Corunával?
A DarkSword hatásának megértéséhez kulcsfontosságú a kontextus. A hónap elején ugyanaz a Google és az iVerify csapata nyilvánosságra hozott egy másik magas szintű támadási készletet, az úgynevezett Corunaképes volt az iPhone-okat az iOS 13-tól az iOS 17.2.1-ig terjedő láncolt sebezhetőségeken keresztül kompromittálni. Mindkét exploit csomag megjelent ugyanazon a szerver infrastruktúránEz egy közös forrásra, vagy legalábbis több szereplő együttműködésére utal.
Úgy vélik, hogy ennek az arzenálnak egy része a kormányzati szintű exploit piacról származik. Korábbi vizsgálatok hivatkoztak egy korábbi tag esetére, aki a Trenchant részleg tagja volt, és az L3Harris védelmi vállalkozóhoz tartozott, és beismerte, hogy... egy sor sebezhetőséget adott el egy orosz közvetítőnek a Zéró hadművelet néven ismert. Innen a kizsákmányolási láncok állami kézből kevésbé lelkiismeretes bűnözői csoportokhoz kerültek volna.
A DarkSword esetében a Google azt állítja, hogy megfigyelte a használatát a következők által: kereskedelmi megfigyelő szolgáltatók valamint az állami hírszerző ügynökségekhez köthető állítólagos hackerek által. Az egyik kampány konkrétan a PARS Defense, egy török kereskedelmi megfigyelő cég részvételével zajlik, a törökországi és malajziai helyszíneket célzó támadásokban.
Oroszországgal való kapcsolatok is jelen vannak. A kód egy részét a következő helyen telepítették: feltört ukrán oldalakA kutatók orosz érdekeltségekhez kötődő operátorokról beszélnek, akik állítólag újra felhasználták a sérülékeny támadást politikai kémkedés és pénzügyi haszonszerzés céljából. A legszembetűnőbb részlet, hogy a DarkSword kód megjelent néhány szerveren. zavaros magyarázat nélkül, angol nyelvű magyarázó megjegyzésekkelEz megkönnyíti más rosszindulatú szereplők számára a másolását, adaptálását és új kampányok indítását.
A Coruna és a DarkSword szinte egyidejű megjelenése jól mutatja, hogy az iOS behatolásvédelmi eszközök piaca milyen mértékben változik. Ami egykor „mesterlövészfegyvereknek” számított, és csak meghatározott célpontok elleni műveletekre volt fenntartva, az most átalakul… tömeges felhasználás arzenálját, amelynek potenciális hatóköre messze túlmutat a diplomáciai vagy katonai körökön.
Milyen információkat lophat el a DarkSword egy iPhone-ról?
A technikai jelentések egyetértenek abban, hogy a DarkSword képes nagyon széles körű érzékeny adatok kinyerésére. A behatolás befejezése után az utólagos modulok hozzáférhetnek az adatokhoz. tárolt jelszavak, hitelesítési tokenek és felhőszolgáltatási hitelesítő adatokEzek közé tartoznak az e-mail fiókok, a közösségi média és a pénzügyi szolgáltatásokhoz való hozzáférés.
A kommunikáció területén a készlet a következő információk gyűjtésére alkalmas: üzenetek és naplók az iMessage-ből, a WhatsAppból és a Telegrambólvalamint más üzenetküldő alkalmazások, amelyek ugyanazokat a belső adatbázisokat használják. Ez lehetővé teszi a korábbi beszélgetések rekonstruálását, telefonszámok és metaadatok beszerzését arról, hogy kivel és milyen gyakran beszélnek.
A DarkSword a készülék személyesebb aspektusait is célba veszi: fényképeket, videókat, böngészési előzmények, jegyzetek, naptár és az Egészség alkalmazás adataiEz nem csupán egy elvont adatvédelmi kérdés; sok esetben ezek az adatok lehetővé teszik a napi rutinok, szokások, hozzávetőleges tartózkodási hely, sőt az egészségi állapotra vonatkozó információk profilalkotását is, ami különösen érzékeny információ a szigorú európai adatvédelmi szabályozások értelmében.
Kiemelt cél a kriptovaluta-tárcák és egyéb digitális eszközökA rosszindulatú program kifejezetten a tárcákhoz, tőzsdékhez és pénzügyi alkalmazásokhoz kapcsolódó hitelesítő adatokat és kulcsokat célozza meg. A kutatók olyan kampányokat dokumentáltak, amelyekben a DarkSword üzemeltetői csalárd kriptovaluta weboldalakat használtak fel pénzeszközök ellopásának elősegítésére, így ötvözve a kémkedést és a pénzügyi bűncselekményeket.
Mindez viszonylag rövid idő alatt történik. A „fájl nélküli” kialakítás gyors támadásokat tesz lehetővé, amelyek során a kémprogram a fertőzés utáni első percekben a lehető legtöbb információt gyűjti össze, majd... megtisztítja a lábnyomai jó részétEz csökkenti annak valószínűségét, hogy a felhasználó bármi szokatlant észrevesz a telefon viselkedésében.
Védelmi intézkedések: frissítések, elkülönítési mód és ajánlott eljárások
Egy ekkora méretű hőstettel szemben a fő védelmi vonal, bármennyire is egyszerűnek hangzik, a következő: Tartsa naprakészen iPhone-játAz Apple több körben javította a mögöttes sebezhetőségeket: először az iOS 18-hoz kiadott specifikus biztonsági frissítésekkel, majd olyan javításokkal, mint az iOS 18.7.2, végül pedig a legújabb iOS 26 sorozatban található hiányosságok pótlásával.
A gyakorlatban a spanyolországi vagy európai felhasználók számára a következő ajánlást javasolják: Beállítások> Általános> Szoftverfrissítés és ellenőrizze, hogy az eszközön a modellhez elérhető legújabb verzió fut-e. Ha az iPhone frissíthető iOS 26-ra, akkor érdemes ezt a lehető leghamarabb megtenni. Az iOS 18-at továbbra is futtató eszközökön elengedhetetlen az Apple által kiadott összes biztonsági javítás telepítése.
Egy másik releváns védelmi réteg a Lezárási módEz a mód, amelyet eredetileg magas kockázatú felhasználók – újságírók, aktivisták, köztisztviselők – számára terveztek, hatékonynak bizonyult a DarkSword és a Coruna által használt támadási hálózatok blokkolásában, vagy legalábbis jelentős akadályozásában. Valójában ezek közül a készletek közül néhány úgy dönt, hogy megszakítja a behatolást, ha azt észleli, hogy az eszköz ebben a módban van, hogy elkerülje a nyomozást megkönnyítő nyomok hátrahagyását.
A frissítéseken és a speciális funkciókon túl számos bevált gyakorlat is érvényes marad. Bár ebben a konkrét kampányban Nem kell furcsa linkekre kattintani A fertőzés elkerülése érdekében tanácsos korlátozni a kitettséget azáltal, hogy csak megbízható webhelyeket látogatunk, kerüljük a titkosítatlan nyilvános Wi-Fi hálózatokat, és rendszeresen felülvizsgáljuk a rendszer adatvédelmi és biztonsági beállításait.
A nagy mennyiségű érzékeny adatot vagy digitális eszközt kezelő felhasználók számára érdemes lehet erre támaszkodni speciális felügyeleti eszközök mint például amilyeneket a mobil biztonsági szektorban működő vállalatok kínálnak. Ezek nem jelentenek varázsmegoldást – különösen az ilyen lopakodó támadások esetén –, de segíthetnek a rendellenes viselkedés vagy a sebezhető konfigurációk észlelésében.
A DarkSword eset számos európai iPhone-tulajdonos számára emlékeztetőül szolgált arra, hogy a gyárilag telepített biztonsági megoldások nem tévedhetetlenek. Az iOS továbbra is az egyik legrobusztusabb mobilplatform, de... állami szintű fenyegetések és nagy költségvetésű kihasználási piacok Olyan kifinomultsági szintet érnek el, amely rendkívüli óvatosságot és a biztonsági frissítések nagyon komolyanvételét igényli.
