DarkSword hack využíva dieru v iPhonoch - útočníci vedia cez web napadnúť staršie verzie iOS 18

Bezpečnostní výskumníci upozornili na nový iPhone exploit chain s názvom DarkSword, ktorý sa podľa zistení Google Threat Intelligence Group používal minimálne od novembra 2025. Nejde pritom len o izolovaný nástroj pre úzko vybrané ciele.

Google tvrdí, že DarkSword sa objavil vo viacerých kampaniach a využívali ho komerční dodávatelia dohliadacích nástrojov aj podozriví štátom podporovaní aktéri. Útoky sa spájali s cieľmi v Saudskej Arábii, Turecku, Malajzii a na Ukrajine.

Podstatné je, že DarkSword cielil na iOS 18.4 až iOS 18.7, teda na staršie vetvy systému pred prechodom na novšie iOS 26. Google uvádza, že exploit chain využíval šesť rôznych zraniteľností a po úspešnom preniknutí nasadzoval tri odlišné rodiny malvéru s označením GHOSTBLADE, GHOSTKNIFE a GHOSTSABER.

Google zároveň potvrdil, že všetky zneužívané chyby už boli opravené, pričom finálne uzavretie prišlo najneskôr s vydaním iOS 26.3. Apple dnes na stránke bezpečnostných aktualizácií uvádza ako najnovšiu verziu iOS a iPadOS 26.3.1.

Práve verzia systému je pri tejto téme kľúčová. Apple vo februári 2026 zverejnil, že iOS 26 beží na 66 % všetkých iPhonov, ktoré pristúpili do App Store, čo zároveň znamená, že významná časť zariadení zostala na staršej vetve. Pri novších iPhonoch uvedených počas posledných štyroch rokov dosiahlo iOS 26 podiel 74 %, no aj tam stále ostáva časť používateľov na starších vydaniach. To je dôvod, prečo bezpečnostné firmy hovorili o miliónoch potenciálne ohrozených zariadení.

Chyba cez web rozhranie

Na DarkSword je zaujímavé aj to, ako sa šíril. Podľa Google išlo o watering hole útoky, teda o kompromitované legitímne weby, na ktoré obeť jednoducho prišla. Výskumníci spomínajú, že ruská skupina UNC6353, ktorú Google spája so špionážnou činnosťou, nasadila DarkSword aj do takýchto kampaní. To mení obraz iPhone exploitov, ktoré boli dlhé roky vnímané skôr ako drahé a zriedkavé nástroje pre úzke spektrum cieľov.

Podľa Lookout a Reuters mal DarkSword kradnúť široké spektrum dát. Výskumníci spomínajú heslá, fotografie, históriu prehliadania, dáta z Kalendára a Poznámok, správy z iMessage, WhatsAppu a Telegramu, ale aj údaje z Apple Health či prihlasovacie údaje ku kryptopeňaženkám. Zaujímavé je aj to, že nejde o klasický trvalo nainštalovaný spyware. DarkSword používal skôr rýchly „hit-and-run“ alebo „smash-and-grab“ prístup, pri ktorom po preniknutí rýchlo zozbieral dáta a odoslal ich preč, bez výraznejšej stopy a bez potreby dlhej prítomnosti v systéme.

Celá kauza je zaujímavá aj širším kontextom. Google priamo prirovnal šírenie DarkSword k skoršiemu kitu Coruna, ktorý takisto koloval medzi rôznymi aktérmi. iVerify už na začiatku marca pri súvisiacej kampani upozornilo, že ide o prvý známy prípad masovejšieho zneužívania mobilných exploitov, vrátane iOS, kriminálnou skupinou s nástrojmi, ktoré podľa nich zrejme vznikli v prostredí štátnych alebo na štát napojených kapacít. Inými slovami, nejde len o ďalšiu zraniteľnosť Applu, ale aj o signál, že obchod s takýmito nástrojmi sa rozširuje a podobné útoky sa môžu objavovať častejšie.

Apple na problém reagoval opravami a opäť odporúča čo najrýchlejšie aktualizovať systém. Google dodáva, že používatelia, ktorí nemôžu aktualizovať, by mali zapnúť Lockdown Mode. Apple zároveň uvádza, že priebežné bezpečnostné opravy dnes dopĺňajú aj tzv. Background Security Improvements, no pri DarkSword je aj tak rozhodujúce mať zariadenie na opravenej verzii systému.

DarkSword je tak zaujímavý najmä preto, že spája tri veci naraz. Zasiahol staršie, ale stále dosť rozšírené verzie iOS 18. Šíril sa cez kompromitované weby, takže útok nemusel vyžadovať zložitú interakciu obete. A zároveň ukazuje, že iPhone exploity už zrejme nie sú len výsadou úzkych špionážnych operácií, ale čoraz viac sa dostávajú do širšieho obehu.