Apple рекомендует срочно обновить iOS: эксплойт DarkSword появился в открытом доступе на GitHub

DarkSword — это не одиночный баг, а целая цепочка из шести уязвимостей, включая три zero-day. Она позволяет полностью скомпрометировать iPhone, запустив вредоносный код прямо через браузер. Эксплойт написан на jаvascript, работает бесшумно и «по-быстрому»: крадёт данные и самоуничтожает следы за минуты.

Исследователи из Google Threat Intelligence Group, iVerify и Lookout обнаружили его в реальных атаках ещё в конце 2025 года, а теперь одна из версий, ориентированная именно на iOS 18.4–18.6.2, оказалась в открытом доступе.

Как это работает и кого затрагивает

Атака относится к типу watering hole (атака на «водопой»): злоумышленники взламывают популярные или тематические сайты (в одном из случаев — даже правительственный ресурс .gov.ua) и размещают на них скрытый iframe. Когда владелец уязвимого iPhone заходит на такой сайт, скрипт автоматически определяет версию iOS и запускает подходящий эксплойт.

DarkSword использует комбинацию уязвимостей в WebKit (движок Safari), ядре системы и других компонентах. Цепочка начинается с повреждения памяти в jаvascriptCore, обходит защиту Pointer Authentication Code, получает права на выполнение кода и в итоге вырывается из «песочницы». В результате атакующий получает доступ практически ко всему:

• сообщениям и истории звонков;
• контактам и заметкам;
• паролям и данным iCloud;
• истории местоположения;
• фотографиям и файлам;
• данным криптокошельков;
• даже базам здоровья и календаря.

После кражи данных эксплойт быстро очищает следы, чтобы жертва ничего не заметила. Исследователи отмечают три семейства вредоносного ПО, которые развёртывались после успешной атаки: GHOSTBLADE, GHOSTKNIFE и GHOSTSABER. Инструмент уже использовали как предполагаемые государственные хакеры (в том числе российская группа UNC6353), так и коммерческие продавцы шпионского ПО.

Особенно тревожно то, что уязвимы миллионы устройств. По оценкам экспертов, на версиях iOS 18.4–18.6.2 до сих пор работает около 14–34 % iPhone — это свыше 220 миллионов гаджетов по всему миру. Если считать шире (включая смежные версии), цифра может приближаться к 270 миллионам.

Реакция Apple: экстренные меры приняты

Компания оперативно отреагировала. Все уязвимости, использованные в DarkSword, были закрыты поэтапно — основные патчи вышли ещё в 2025 году, а финальные штрихи появились в iOS 26.3. Для тех, кто не может перейти на новую major-версию, Apple выпустила экстренное обновление (в том числе для старых моделей на iOS 15–18).

11 марта было развёрнуто специальное исправление безопасности для устройств, которые не обновлялись до актуальных версий. Сейчас защищены все iPhone на iOS 15 и выше при условии установки последних патчей. Apple также подчёркивает: режим блокировки (Lockdown Mode) эффективно останавливает подобные атаки, хотя и отключает некоторые удобные функции.

Что делать прямо сейчас

Если ваш iPhone до сих пор на iOS 18.4–18.6.2 (или любой версии до 18.7.3 / 26.3), обновляйтесь немедленно:

1. Зайдите в Настройки → Основные → Обновление ПО.
2. Установите самую свежую доступную версию — желательно iOS 26.3.1 или новее.
3. Включите автоматические обновления.
4. Для максимальной защиты активируйте Режим блокировки в Настройках → Конфиденциальность и безопасность.

Даже если вы не считаете себя целью шпионов, риски реальны: атаки через скомпрометированные обычные сайты могут задеть обычных пользователей. Эксплойт уже «в диком виде», а его исходники на GitHub упрощают задачу для менее опытных злоумышленников.

DarkSword стал вторым за короткое время мощным iOS-эксплойт-китом (после Coruna), который демонстрирует, как быстро эволюционируют угрозы мобильной безопасности. Apple продолжает укреплять защиту, но лучшая защита — это timely обновления. Не откладывайте: несколько минут на скачивание патча могут спасти ваши личные данные от чужих глаз.

Оставайтесь в безопасности — и пусть ваш «меч» всегда остаётся на стороне добра.

Ранее мы писали о том, что Внимание: новый вирус для Android маскируется под антивирус от Центробанка · Специалисты по кибербезопасности из компании Dr. Web обнаружили новый опасный вирус, угрожающий пользователям Android-устройств. Зловредное программное обеспечение распространяется под видом антивирусного приложения,