Ένα ισχυρό κιτ εργαλείων εκμετάλλευσης iOS, γνωστό ως DarkSword, διέρρευσε δημόσια στο GitHub, μειώνοντας δραματικά το εμπόδιο για τους εγκληματίες του κυβερνοχώρου να στοχεύουν εκατοντάδες εκατομμύρια iPhone και iPad που εξακολουθούν να χρησιμοποιούν απαρχαιωμένο λογισμικό.
Οι ερευνητές ασφαλείας κρούουν τον κώδωνα του κινδύνου καθώς η διαρροή μετατρέπει αυτό που κάποτε ήταν ένα εξελιγμένο, συνδεδεμένο με το κράτος επιθετικό εργαλείο σε ένα προσβάσιμο κιτ επίθεσης για σχεδόν κάθε παράγοντα απειλής.
DarkSword Exploit
Το DarkSword είναι μια πλήρης αλυσίδα εκμετάλλευσης iOS γραμμένη σε JavaScript, η οποία αρχικά αναγνωρίστηκε τον Μάρτιο του 2026 από την ομάδα Threat Intelligence Group (GTIG) της Google, μαζί με τις εταιρείες κυβερνοασφάλειας iVerify και Lookout.
Η εργαλειοθήκη αλυσιδώνει έξι διακριτές ευπάθειες μηδενικής ημέρας για την επίτευξη πλήρους, προνομιακού συμβιβασμού ενός iPhone-στόχου, όλα ξεκινώντας μέσω μιας επίσκεψης του προγράμματος περιήγησης σε μια κακόβουλη ιστοσελίδα.
| CVE | Μονάδα Exploit | Τύπος ευπάθειας | Ημέρα Μηδέν | Patched In |
|---|---|---|---|---|
| CVE-2025-31277 | rce_module.js |
Βελτιστοποίηση JIT / σύγχυση τύπου | Οχι | iOS 18.6 |
| CVE-2025-43529 | rce_worker_18.6.js, rce_worker_18.7.js |
Σφάλμα χρήσης μετά τη δωρεάν συλλογής σκουπιδιών στο επίπεδο DFG JIT | Ναί | iOS 18.7.3, 26.2 |
| CVE-2026-20700 | rce_worker_18.4.js, rce_worker_18.6.js, rce_worker_18.7.js |
Καταστροφή μνήμης / παράκαμψη PAC σε λειτουργία χρήστη | Ναί | iOS 26.3 |
| CVE-2025-14174 | sbox0_main_18.4.js, sbx0_main.js |
Πρόσβαση στη μνήμη εκτός ορίων στη λειτουργία WebGL | Ναί | iOS 18.7.3, 26.2 |
| CVE-2025-43510 | sbx1_main.js |
Σφάλμα διαχείρισης μνήμης / αντιγραφής σε εγγραφή | Οχι | iOS 18.7.2, 26.1 |
| CVE-2025-43520 | pe_main.js |
Συνθήκη αγώνα λειτουργίας πυρήνα στην εφαρμογή VFS | Οχι | iOS 18.7.2, 26.1 |
Η αλυσίδα kill ξεκινά όταν το Safari φορτώνει ένα κακόβουλο iframe που είναι ενσωματωμένο σε μια παραβιασμένη τοποθεσία. Από εκεί, το DarkSword βγαίνει από το περιβάλλον δοκιμών WebContent, αξιοποιεί το WebGPU για να εισάγει κώδικα στο mediaplaybackd διαδικασία, και τελικά επιτυγχάνει πλήρη πρόσβαση ανάγνωσης/εγγραφής πυρήνα.
Αυτή η πρόσβαση σε επίπεδο πυρήνα επιτρέπει στον εισβολέα να τροποποιήσει τους περιορισμούς του sandbox και να φτάσει σε περιορισμένες περιοχές του συστήματος αρχείων iOS — χωρίς ποτέ να απαιτείται φυσική πρόσβαση στη συσκευή.
Μεταξύ των τρωτών σημείων που εκμεταλλεύονται είναι το CVE-2025-43529, ένα σφάλμα συλλογής σκουπιδιών στο επίπεδο JIT Graph ροής δεδομένων (DFG) του JavaScriptCore, το οποίο επιδιορθώθηκε η Apple στο iOS 18.7.3 και στο iOS 26.2 μετά την αποκάλυψη του GTIG.
Το DarkSword αρχικά αναπτύχθηκε σε στοχευμένες εκστρατείες κατασκοπείας εναντίον Ουκρανών πολιτών από μια ομάδα απειλών που παρακολουθείται ως UNC6353, η οποία υποπτεύεται ότι λειτουργεί τουλάχιστον εν μέρει για λογαριασμό της ρωσικής κυβέρνησης.
Η εργαλειοθήκη κατασκευάστηκε ειδικά για γρήγορη, κρυφή διείσδυση δεδομένων, εξαγωγή κωδικών πρόσβασης, φωτογραφιών, μηνυμάτων WhatsApp και Telegram, νημάτων iMessage, ιστορικού προγράμματος περιήγησης και ακόμη και διαπιστευτηρίων πορτοφολιού κρυπτονομισμάτων πριν εξαφανιστούν χωρίς ίχνος.
Οι ερευνητές του Lookout παρατήρησαν ότι ο χρόνος του DarkSword σε μια παραβιασμένη συσκευή μετριέται πιθανότατα σε λεπτά, καθιστώντας το μια κλασική επιχείρηση κατασκοπείας “smash-and-grab”.
Αυτό που προηγουμένως ήταν ένα επιθετικό εργαλείο εθνικού κράτους είναι τώρα δωρεάν διαθέσιμο στο διαδίκτυο. Μια νεότερη έκδοση της εργαλειοθήκης DarkSword, που φέρεται να αποτελείται από σχετικά βασικά αρχεία HTML και JavaScript, δημοσιεύτηκε στο GitHub και οι ερευνητές προειδοποιούν ότι μπορεί να αναπτυχθεί σε έναν κακόβουλο διακομιστή μέσα σε λίγα λεπτά.
Ο χομπίστας ασφαλείας Matteyeux επιβεβαίωσε ότι η απειλή είναι πραγματική και άμεση, δημοσιεύοντας στο X ότι χρησιμοποίησαν με επιτυχία το δείγμα DarkSword που διέρρευσε για να θέσει σε κίνδυνο ένα iPad mini 6ης γενιάς με iPadOS 18.6.2, αποδεικνύοντας ότι το exploit λειτουργεί χωρίς προηγμένη τεχνική τεχνογνωσία.
Σύμφωνα με τα δεδομένα χρήσης της ίδιας της Apple, περίπου το ένα τέταρτο όλων των ενεργών iPhone και iPad εξακολουθούν να εκτελούν iOS 18 ή προγενέστερη έκδοση — ενδεχομένως εκατοντάδες εκατομμύρια ευάλωτες συσκευές παγκοσμίως.
Το DarkSword στοχεύει συγκεκριμένα τις εκδόσεις iOS 18.4 έως 18.7, οι οποίες παραμένουν όλες χωρίς επιδιόρθωση έναντι της πλήρους αλυσίδας εκμετάλλευσης, εκτός εάν αναβαθμιστούν σε iOS 26.
Η Apple αναγνώρισε την ευπάθεια και κυκλοφόρησε μια ενημέρωση ασφαλείας έκτακτης ανάγκης στις 11 Μαρτίου για συσκευές που δεν μπορούν να αναβαθμιστούν σε iOS 26. Η Apple επιβεβαίωσε επίσης ότι οι συσκευές με ενεργοποιημένη τη λειτουργία κλειδώματος προστατεύονται από επιθέσεις DarkSword, ακόμη και σε απαρχαιωμένο λογισμικό.
Οι ειδικοί ασφαλείας προτρέπουν σθεναρά όλους τους χρήστες iPhone και iPad να ενημερώσουν αμέσως στο iOS 26 ή να εφαρμόσουν τη διαθέσιμη ενημέρωση κώδικα έκτακτης ανάγκης. Οι χρήστες που δεν μπορούν να αναβαθμίσουν θα πρέπει να ενεργοποιήσουν το Lockdown Mode ως άμεσο μετριασμό έναντι αυτής της πλέον δημόσιας και οπλισμένης αλυσίδας εκμετάλλευσης.
