Apple wydaje pilną aktualizację systemów iOS i iPadOS — kod exploita DarkSword został opublikowany na GitHubie

Zespół Google Threat Intelligence Group (GTIG) ujawnił w połowie marca 2026 roku istnienie zaawansowanego łańcucha exploitów dla systemu iOS, określanego roboczą nazwą DarkSword.

Exploit obsługuje wersje iOS oraz iPadOS od 18.4 do 18.7 i wykorzystuje sześć różnych luk bezpieczeństwa do wdrożenia finalnych ładunków złośliwego oprogramowania. Kilka dni po publicznym ujawnieniu badań, kod narzędzia wyciekł na platformę GitHub, znacząco obniżając próg wejścia dla potencjalnych atakujących.

Jak działa DarkSword?

W ataku z użyciem DarkSword użytkownik podatnego iPhone’a lub iPada odwiedza złośliwą stronę internetową i jednym kliknięciem uruchamia kompletny łańcuch exploitów, który w pełni przejmuje kontrolę nad urządzeniem, uzyskuje uprawnienia jądra systemu i pozyskuje wrażliwe dane z telefonu ofiary.

Exploit napisany jest w całości w JavaScripcie: zaczyna od wykorzystania błędów w przeglądarce Safari w celu uzyskania zdalnego wykonania kodu (RCE), następnie ucieka z piaskownicy i atakuje jądro systemu, aby wstrzyknąć i wykonać kod JavaScript umożliwiający eskalację uprawnień i dostarczenie finalnego ładunku.

Co istotne, atak może zostać przeprowadzony za pośrednictwem zainfekowanych, legalnych stron internetowych – użytkownik nie musi klikać w podejrzane odnośniki. Tego rodzaju ataki „watering-hole”, nadużywające skompromitowanych legalnych serwisów, są w praktyce atakami nie wymagającymi interakcji ze strony użytkownika – ofiara może zwyczajnie regularnie odwiedzać daną stronę.

Skala zagrożenia: setki milionów urządzeń

Firma iVerify szacuje, że łańcuch exploitów DarkSword nadal zagraża znacznej części użytkowników iPhone’ów. Według szacunków 14,2% użytkowników – czyli około 221,5 mln urządzeń – posiada system iOS w wersji między 18.4 a 18.6.2, które nie posiadają niedawno opublikowanych przez Apple’a łatek bezpieczeństwa.

Sytuację komplikuje fakt publikacji kodu na GitHubie. Matthias Frielingsdorf, współzałożyciel firmy bezpieczeństwa mobilnego iVerify, ostrzegł, że exploity „działają od razu po wyjęciu z pudełka” i „nie jest wymagana żadna wiedza na temat iOS”. Przewiduje on, że „należy spodziewać się, że przestępcy i inne podmioty zaczną wdrażać to narzędzie”.

Kto stoi za DarkSwordem?

Od co najmniej listopada 2025 roku GTIG zaobserwowała kilku dostawców komercyjnego oprogramowania szpiegowskiego oraz podejrzewanych aktorów sponsorowanych przez państwa, wykorzystujących DarkSword w odrębnych kampaniach. Aktorzy ci wdrożyli łańcuch exploitów przeciwko celom w Arabii Saudyjskiej, Turcji, Malezji i na Ukrainie.

DarkSword ma na celu wyciągnięcie rozbudowanego zestawu danych osobowych, w tym danych uwierzytelniających, i atakuje wiele aplikacji portfeli kryptowalutowych, co sugeruje motywację finansową. Równolegle narzędzie było stosowane do celów szpiegowskich przez podmioty powiązane z rządami.

Co powinna zrobić firma Apple i co powinni zrobić użytkownicy?

Wszystkie luki zostały już przez firmę Apple załatane. Apple 11 marca wydało aktualizację dla urządzeń, które nie mogą uruchomić najnowszych wersji iOS/iPadOS, i opublikowało dokument podkreślający wagę aktualizowania urządzeń, zaznaczając, że tryb Lockdown Mode może dodatkowo ograniczyć próby włamania.

Aby chronić swoje urządzenie, Apple rekomenduje użytkownikom aktualizację systemu iOS/iPadOS do wersji 26.3.1 lub 18.7.6 (w zależności od modelu urządzenia). Starsze urządzenia, które nie obsługują iOS/iPadOS 18, powinny zostać zaktualizowane przynajmniej do iOS 15.8.7 lub iPadOS 16.7.15.

Użytkownicy, którzy nie są w stanie wykonać aktualizacji, powinni zgodnie z zaleceniami firmy włączyć tryb Lockdown Mode w ustawieniach urządzenia.

Źródła

Zdjęcie tytułowe zostało wykonane przez Olgierda Rudaka i jest ono dostępne na Wikimedia Commons na licencji Creative Commons CC0 1.0. Treść artykułu powstała na podstawie następujących źródeł tekstowych i/lub audiowizualnych:

• The Proliferation of DarkSword: iOS Exploit Chain Adopted by Multiple Threat Actors, opublikowany w serwisie cloud.google.com przez Google Threat Intelligence Group w dniu 18.03.2026
• Attackers Wielding DarkSword Threaten iOS Users, opublikowany w serwisie lookout.com w dniu 18.03.2026
• Someone has publicly leaked an exploit kit that can hack millions of iPhones, opublikowany w serwisie techcrunch.com w dniu 23.03.2026
• DarkSword iOS Exploit Kit Used by State-Sponsored Hackers, Spyware Vendors, opublikowany w serwisie securityweek.com przez Ionuta Arghire w dniu 18.03.2026