Haavatavus, mida tuntakse kui DarkSword Sellest on saanud üks tõsisemaid turvaintsidente, mis on viimasel ajal iPhone'e mõjutanud. Google'i, iVerify ja Lookouti teadlased on dokumenteerinud, kuidas see komplekt... nullkliki ärakasutamine See võimaldab iOS 18-ga seadmeid kontrollida lihtsalt nakatunud veebilehe laadimise teel, ilma et inimene peaks midagi vajutama või kahtlaseid linke avama.
See juhtum on Euroopa küberturvalisuse kogukonnas häirekellad löönud, sest sadu miljoneid iPhone'e iOS 18 haavatavaid versioone on endiselt üle maailma. Kuigi Apple on juba välja andnud parandusi ja hädaolukorra plaastreid, on uusimate versioonide kasutuselevõtt oodatust aeglasem, osaliselt kahtluste tõttu, kuidas... hallata ruumi, mis säilitab a märkimisväärne rünnakupind nii Euroopas kui ka teistel turgudel.
Mis täpselt on DarkSword ja miks see nii palju muret tekitab?
DarkSword ei ole lihtne isoleeritud viga, vaid täielik rünnakukomplekt iOS-ile Loodud iPhone'ide ohtu seadmiseks ilma kasutaja sekkumiseta. Tehniline analüüs näitab, et tööriistaketid ümberringi kuus nullpäeva haavatavust minna Safari brauserist operatsioonisüsteemi kerneli juurde, saades piisavalt õigusi praktiliselt kogu seadmes olevale teabele juurdepääsuks.
Algne kampaania tuvastati Kümned legaalsed Ukraina veebisaidid mida oli manipuleeritud. Ainult ühele neist lehtedest nakatunud iPhone'ist ligipääsemisest piisas taustal toimuva rünnakuahela käivitamiseks. Sealt edasi sai DarkSword lugeda iMessage'i, WhatsAppi ja Telegrami sõnumeid, vaadata sirvimisajalugu, vaadata märkmeid, kalendrisündmusi või isegi pääseda ligi Apple'i terviserakenduse andmetele.
Üks elemente, mis uurijaid kõige rohkem muretsema paneb, on see, et rünnakut on kasutatud laiaulatuslikult ja mitte ainult kõrgetasemeliste sihtmärkide vastu. iVerify ja Lookouti kogutud andmete kohaselt 220–270 miljonit iPhone'i Nad kasutavad jätkuvalt haavatavaid iOS 18 versioone, mis praktikas moodustavad umbes 14–25% aktiivsest iPhone'i pargist.
Lisaks tugineb DarkSword järelkasutusmoodulite arhitektuurile, millele analüütikud viitavad selliste koodnimedega nagu TOMMITERA, TOMMNUGA või TOMMIMÕÕK— kes vastutavad varastatud teabe väga lühikese aja jooksul kogumise ja pakendamise eest, mis on eriti atraktiivne spionaažikampaaniate jaoks, ja krüptovaluuta vargus.
Kuidas rünnak toimib: Safarist iOS-i tuumani
DarkSword tegutseb, kasutades ära üksteise järel seotud turvaaukude ahelat. Peamine sisenemispunkt on Safari brauser või mis tahes komponent, mis renderdab veebisisu. Kui rikutud leht laadib, käivitatakse kood, mis on spetsiaalselt loodud JavaScripti mootori ja teiste brauseri komponentide haavatavuste ärakasutamiseks.
Kui esimene etapp on edukas, liigub ärakasutamine süsteemi sügavamatesse kihtidesse, kasutades ära täiendavaid haavatavusi, kuni see saavutab koodi käivitamine kõrgendatud õigustegaSelle juurdepääsutasemega saab ründaja lugeda sisemisi andmebaase, hankida paroolivõtmehoidjaid, vaadata üle vestlusi ja tutvuda failidega, mis on tavaliselt kaitstud isegi kasutaja enda rakenduste eest.
Lähenemisviis on seda tüüpi failidetaTeisisõnu, DarkSword väldib nähtavate rakenduste või püsivate failide installimist. Selle asemel kaaperdab see operatsioonisüsteemi protsesse, käivitab mälust pahatahtlikke käske ja kustutab kõik jäljed minutite jooksul. Selline „koheselt sissetungi“ käitumine muudab tuvastamise äärmiselt keeruliseks isegi spetsiaalsete lahenduste jaoks, sest pärast telefoni taaskäivitamist pole sissetungi kohta peaaegu mingeid selgeid märke.
See toimimisviis meenutab klassikalisi tehnikaid, mida kasutatakse täiustatud arvutirünnakutes, kuid on kohandatud Apple'i ökosüsteemile. Tegelikult rõhutavad teadlased, et Residendist nuhkvara tavalisi märke ei täheldatud.See muudab oluliselt mängureegleid neile, kes on harjunud oma seadmest kahtlaseid rakendusi otsima.
Mõjutatud iOS-i versioonid ja globaalne ulatus
DarkSwordi esimesed lained olid suunatud peamiselt iPhone'id iOS 18-gaGoogle'i, Lookouti ja iVerify aruanded viitavad järjepidevalt versioonidele vahemikus iOS 18.4 ja iOS 18.6.2 kui tuvastatud kampaaniatest kõige selgemini ohustatud. Mõned analüüsid mainivad ka osalist parandust iOS 18.7.2-s, teised aga paigutavad haavatavuse täieliku sulgemise iOS 26-sse ja uuematesse versioonidesse.
Igal juhul on andmete põhjal pilt selge: Väga suur hulk seadmeid kasutab endiselt iOS 18-tSee on kas seetõttu, et nende omanikud pole uusimatele versioonidele üle läinud, või seetõttu, et nad eelistavad vältida liidese muudatusi. See olukord mõjutab mitte ainult konfliktipiirkondades elavaid kasutajaid, vaid ka miljoneid inimesi Euroopa Liidus ja Hispaanias, kes kasutavad oma iPhone'e iga päev panganduse, digitaalse isiku tuvastamise või elektrooniliste allkirjade jaoks.
Teadlased on DarkSwordi kasutamist dokumenteerinud vähemalt alates 2025. aasta lõppKuigi esialgne avastus toimus Ukraina domeenides, avastati peagi kampaaniad sihtmärkide vastu [täpsustamata] piirkonnas. Saudi Araabia, Türkiye ja MalaisiaMitmel juhul oli ärakasutamine integreeritud legitiimsetesse veebisaitidesse, näiteks uudisteportaalidesse või haldusveebisaitidele, kasutades ära nende head mainet, et jääda märkamatuks.
Euroopas on risk kaudsem, kuid mitte vähem oluline: iga kasutaja, kes külastab väljaspool Euroopat majutatud ohustatud lehti või loob ühenduse rahvusvaheliste võrkude kaudu, võib pahatahtliku koodi alla laadida. Lisaks suurendab asjaolu, et DarkSword on korduvkasutatav komplekt, tõenäosust, et see integreeritakse lõpuks [unclear/unclear]. laiemad küberkuritegevuse kampaaniad, sealhulgas need, mille eesmärk on varastada Euroopa kodanike internetipangakontosid ja krüptovaluutarahakotte.
Kes on DarkSwordi taga ja milline on nende suhe Corunaga?
DarkSwordi mõju mõistmise võtmeelement on selle kontekst. Selle kuu alguses avalikustas sama Google'i ja iVerify meeskond veel ühe kõrgetasemelise rünnakukomplekti, mida tuntakse nime all Corunavõimeline rikkuma iPhone'e iOS 13-st kuni iOS 17.2.1-ni 23 aheldatud haavatavuste kaudu. Mõlemad ärakasutamispaketid ilmusid samal serveri infrastruktuurilSee viitab ühisele allikale või vähemalt mitme osapoole koostööle.
Arvatakse, et osa sellest arsenalist pärineb valitsuse tasemel ekspluateerimisturult. Varasemad uurimised viitavad Trenchanti divisjoni endise liikme juhtumile, kes kuulus kaitsetööstusettevõttesse L3Harris ja kes tunnistas üles müüs Venemaa vahendajale rea haavatavusi tuntud kui Operatsioon Null. Sealt edasi oleksid ekspluateerimisahelad riigi käest liikunud vähem hoolikate kuritegelike rühmituste kätte.
DarkSwordi puhul väidab Google, et on täheldanud selle kasutamist ärijärelevalve pakkujad ja väidetavate häkkerite poolt, kes on seotud riiklike luureagentuuridega. Üks kampaaniatest hõlmab konkreetselt Türgi kommertsjälgimisfirmat PARS Defense rünnakutes, mis on suunatud Türgi ja Malaisia asukohtadele.
Samuti on olemas lingid Venemaale. Osa koodist võeti kasutusele aastal ohustatud Ukraina saididJa uurijad räägivad Venemaa huvidega seotud operaatoritest, kes väidetavalt kasutasid ära ärakasutamist poliitilise spionaaži ja rahalise kasu ühendamiseks. Kõige silmatorkavam detail on see, et DarkSwordi kood ilmus mõnele serverile. ilma segadust tekitamata ja selgitavate kommentaaridega inglise keelesSee teeb teistel pahatahtlikel osalejatel selle kopeerimise, kohandamise ja uute kampaaniate käivitamise lihtsamaks.
Coruna ja DarkSwordi peaaegu samaaegne väljalase näitab, mil määral iOS-i sissetungimisriistade turg on muutumas. See, mis kunagi olid sihtotstarbeliste operatsioonide jaoks mõeldud "snaiprirelvad", on nüüd muutumas... massilise kasutamise arsenal, mille potentsiaalne ulatus ulatub diplomaatilistest või sõjaväelistest ringkondadest kaugemale.
Millist teavet saab DarkSword iPhone'ist varastada?
Tehnilised aruanded on ühel meelel, et DarkSwordil on võime hankida väga laia valikut tundlikke andmeid. Kui sissetung on lõppenud, saavad järelkontrolli moodulid sellele juurde pääseda. salvestatud paroolid, autentimismärgid ja pilveteenuse identimisandmedNende hulka kuuluvad e-posti kontod, sotsiaalmeedia ja juurdepääs finantsteenustele.
Sidevaldkonnas on komplekt ette valmistatud koguma sõnumid ja logid iMessage'ist, WhatsAppist ja Telegramistsamuti teised sõnumsiderakendused, mis tuginevad samadele sisemistele andmebaasidele. See võimaldab rekonstrueerida varasemaid vestlusi, hankida telefoninumbreid ja metaandmeid selle kohta, kellega ja kui sageli räägitakse.
DarkSword keskendub ka seadme isikupärasematele aspektidele: fotodele, videotele, sirvimisajalugu, märkmed, kalender ja terviserakenduse andmedSee ei ole pelgalt abstraktne privaatsusküsimus; paljudel juhtudel võimaldavad need andmed profileerida igapäevaseid rutiine, harjumusi, ligikaudset asukohta ja isegi teavet tervisliku seisundi kohta, mis on rangete Euroopa andmekaitse-eeskirjade kohaselt eriti tundlik teave.
Prioriteetseks eesmärgiks on krüptovaluuta rahakotid ja muud digitaalsed varadPahavara on suunatud spetsiaalselt rahakottide, vahetusplatvormide ja finantsrakendustega seotud volitustele ja võtmetele. Teadlased on dokumenteerinud kampaaniaid, kus DarkSwordi operaatorid kasutasid petturlikke krüptovaluuta veebisaite raha varguse hõlbustamiseks, ühendades seeläbi spionaaži ja finantskuritegevuse.
Kõik see toimub suhteliselt lühikese aja jooksul. „Failivaba“ disain hõlbustab kiireid rünnakuid, mille puhul nuhkvara kogub nakatumisele järgneva paari minuti jooksul võimalikult palju teavet ja seejärel... puhastab suure osa oma jalajälgedestSee vähendab tõenäosust, et kasutaja märkab telefoni käitumises midagi ebatavalist.
Kaitsemeetmed: värskendused, isolatsioonirežiim ja parimad tavad
Sellise ulatusega vägiteo ees on peamine kaitseliin, nii lihtne kui see ka ei kõla, Hoidke oma iPhone'i ajakohasenaApple on algupäraseid haavatavusi mitmes voorus parandanud: esmalt iOS 18 spetsiifiliste turvavärskendustega, seejärel selliste parandustega nagu iOS 18.7.2 ja lõpuks uuema iOS 26 seeria lünkade täitmisega.
Praktikas on soovitus kõigile Hispaania või ülejäänud Euroopa kasutajatele juurdepääs Seaded> Üldine> Tarkvarauuendus ja veenduge, et seadmes töötab selle mudeli jaoks saadaolev uusim versioon. Kui iPhone'i saab iOS 26-le värskendada, on kõige parem seda teha nii kiiresti kui võimalik. Seadmete puhul, mis ikka veel käitavad iOS 18-t, on oluline installida kõik Apple'i välja antud turvaparandused.
Teine oluline kaitsekiht on LukustusrežiimSee režiim, mis oli algselt mõeldud kõrge riskiga kasutajatele – ajakirjanikele, aktivistidele ja avaliku sektori ametnikele –, on osutunud tõhusaks selliste rünnakuvõrgustike blokeerimisel või vähemalt olulisel takistamisel nagu need, mida kasutavad DarkSword ja Coruna. Tegelikult otsustavad mõned neist komplektidest sissetungi katkestada, kui nad tuvastavad seadme selles režiimis olemise, et vältida uurimist hõlbustavate jälgede jätmist.
Lisaks uuendustele ja täiustatud funktsioonidele on mitmeid parimaid tavasid, mis jäävad kehtima. Kuigi selles konkreetses kampaanias Pole vaja kummalistele linkidele klõpsata Nakatumise vältimiseks on soovitatav kokkupuudet piirata, külastades ainult usaldusväärseid veebisaite, vältides krüpteerimata avalikke WiFi-võrke ning vaadates regulaarselt üle süsteemi privaatsus- ja turvaseaded.
Kasutajate jaoks, kes haldavad suuri hulgal tundlikke andmeid või digitaalseid varasid, võib olla mõistlik loota spetsiaalsed jälgimisvahendid näiteks mobiilside turvalisuse sektori ettevõtete pakutavad lahendused. Need ei ole maagiline lahendus – eriti selliste salajaste rünnakute puhul –, kuid need aitavad tuvastada anomaalset käitumist või haavatavaid konfiguratsioone.
DarkSwordi juhtum on tuletanud paljudele iPhone'i omanikele Euroopas meelde, et kohe pärast karbist võtmist pole turvalisus lollikindel. iOS on endiselt üks vastupidavamaid mobiiliplatvorme, kuid riikliku taseme ohud ja suure eelarvega ärakasutamise turud Need on jõudmas keerukuse tasemele, mis nõuab äärmist ettevaatust ja turvavärskenduste väga tõsist võtmist.
