Безопасники из Lookout и Google Threat Intelligence Group обнаружили DarkSword — новый набор эксплойтов для iPhone. Его цель — добраться до личных данных пользователя в обход системы безопасности устройства.
DarkSword нацелен на гаджеты с iOS 18.4–18.7 и использует сразу шесть уязвимостей. Соответственно лучшим решением здесь будет обновиться до последней актуальной итерации — iOS 26.3.1, где эта проблема исправлена, однако, по некоторым данным, около 14,2% смартфонов всё ещё работает под управлением целевых версий ОС (примерно 221 млн штук).
Атака начинается в Safari — когда жертва переходит на заражённый сайт. Система с помощью JIT-уязвимостей получает доступ к произвольному чтению/записи файлов, выходит за пределы песочницы, получает доступ к ядру ОС и повышает привилегии. Далее в привилегированных iOS-сервисах (App Access, Wi-Fi, Springboard, Keychain и iCloud) появляется JS-среда для сбора данных.
Скомпрометированными становятся пароли, cookies, фотографии, SMS, история звонков, список контактов, базы Telegram и WhatsApp, история браузера, записи в календаре, заметки, данные о здоровье и активности из Apple Health, геоданные, а также криптовалютные кошельки Coinbase, Binance и Ledger. После кражи всей этой информации эксплойт-кит удаляет из системы все подозрительные файлы и завершает работу.
DarkSword известен с ноября 2025 года, и его практически сразу на вооружения взяли госхакеры. Так, например, впервые он был применён членами группировки UNC6748 в атаке на пользователей из Саудовской Аравии через клон ресурса Snapchat. Позже уязвимости эксплуатировали группа UNC6353 и турецкий поставщик коммерческого шпионского ПО PARS Defense.
.jpg)
