Nemrég a Coruna exploitról szóltak a hírek, amit március 11-én még a régebbi készülékekre kiadott iOS 15.8.7-tel illetve 16.7.15-tel is orvosolt az Apple. Most viszont egy másik, a DarkSword került a figyelem középpontjába, ami az elérhető információk alapján az iOS 18.4 és 18.7 közötti verziókat érinti.

A DarkSword egy összetett iOS exploit chain (többlépcsős támadási lánc), amely több, részben zero-day sérülékenységet kombinál, és teljes hozzáférést adhat az érintett készülékekhez. És bár az iOS 18.7.6 már jelentősen csökkentette a kockázatát, az csak azokra a készülékekre érhető el, amelyek nem támogatják az iOS 26-ot, ugyanis az iOS 26-ra egyébként frissíthető készülékekre az Apple már nem adott ki iOS 18-as frissítést a 18.7.2 után.

Miről van szó pontosan?

A Google Threat Intelligence Group (GTIG) nemrég azonosított egy új, teljes láncot lefedő iOS-exploittal történő támadást, amely több, korábban ismeretlen, azaz zero-day sebezhetőséget használt fel az eszközök teljes kompromittálására. A talált jellegzetességek alapján a kutatók ezt az exploitláncot DarkSword néven azonosítják. A GTIG legalább 2025 novembere óta több kereskedelmi megfigyelőszoftver-fejlesztő céget, valamint feltételezett állami támogatású szereplők esetén észlelte ezt, amelyek különálló kampányokban alkalmazták a DarkSwordot. Ezek a támadók Szaúd-Arábia, Törökország, Malajzia és Ukrajna területén lévő célpontok ellen vetették be a támadási láncot.

A DarkSword az iOS 18.4–18.7 verziókat támogatja, és hat különböző sebezhetőséget használ a végső fázisú payloadok futtatásához. A GTIG három különálló malware-családot azonosított, amelyeket sikeres kompromittálás után futtatnak: GHOSTBLADE, GHOSTKNIFE és GHOSTSABER.

Ennek az egyetlen exploitláncnak a különböző szereplők közötti elterjedése hasonlóságot mutat a korábban felfedezett Coruna iOS exploitkészlettel. Külön figyelemre méltó, hogy az UNC6353 nevű, feltételezetten orosz kémtevékenységet folytató csoport – amelyet korábban a Coruna használatával hoztak összefüggésbe – nemrég beépítette a DarkSwordot úgynevezett „watering hole” típusú támadásaiba. (A „watering hole” támadás olyan célzott kibertámadás, amelyben a támadó a célcsoport által gyakran látogatott weboldalakat fertőzi meg, hogy azokon keresztül kompromittálja az áldozatok eszközeit.)

A GTIG 2025 végén jelentette az Apple számára a DarkSword által kihasznált hibákat, és az Apple az összes sebezhetőséget javította az iOS 26.3-mal, illetve a legtöbbet már korábban is befoltozták:

A támadás terjesztésében részt vevő domaineket az Apple felvette a Safe Browsing rendszerébe, és határozottan javasolja a felhasználóknak, hogy frissítsék eszközeiket az iOS legújabb verziójára. Amennyiben a frissítés bármi okból nem megoldható, ajánlott a Zárt mód bekapcsolása a fokozott biztonság érdekében.

Milyen CVE-kből áll a DarkSword és ki lehet érintett?

A GTIG az alábbi CVE-ket köti a DarkSwordhoz, mi pedig összeszedtük mellé, hogy időrendben melyik frissítésekben javította őket az Apple:

• CVE-2025-31277 – ez a 18.6-ban került javításra, a 26-os verzió még csak béta volt.
• CVE-2025-43510 – ez a 18.7.2-ben került javításra, illetve a 26.1 is tartalmazza.
• CVE-2025-43520 – ez a 18.7.2-ben került javításra, illetve a 26.1 is tartalmazza.
• CVE-2025-43529 – ez a 18.7.3-ban került javításra, illetve a 26.2 is tartalmazza.
• CVE-2025-14174 – ez a 18.7.3-ban került javításra, illetve a 26.2 is tartalmazza.
• CVE-2026-20700 – ennél ki kell emelni, hogy bár egyes források szerint ez a 18.7.5-ben került javításra, ugyanakkor az Apple erre a verzióra vonatkozó dokumentumában ez az adott CVE nem szerepel, a 26.3 esetén viszont igen.

Fontos megemlíteni, hogy az iOS 26-ot egyébként támogató készülékekre az Apple már nem adott ki iOS 18-as frissítést a 18.7.2 után – és egyébként a 18.6.2-től kezdve már IPSW sincs az adott verzióból ezekre a készülékekre, azok a 18.7.2-vel bezáróan csak OTA-frissítésként voltak elérhetőek.

Amennyiben még nem frissítettünk az iOS 26-ra, akkor a készülékünk aktuális szoftver-verzióját ellenőrizve láthatjuk a fenti felsorolásban, hogy melyik CVE-k érinthetnek minket. Ha például az iOS 18.7.2 van az iPhone 14-ünkön, akkor a CVE-2025-43529, CVE-2025-14174 és CVE-2026-20700 is használható a vele szemben.

Mivel a DarkSword iOS-specifikus, ezért a legnagyobb kockázat az iPhone-okon van, iPaden ritkábban fordul elő, a Mac-ek pedig elvben nem érintettek.

Hogyan fut le mindez az érintett készüléken?

Az érintett készülékek kompromittálása elsősorban a cikk korábbi részében már említett „watering hole” típusú támadással történik: a támadó a célcsoport által gyakran látogatott weboldalakat fertőzi meg, és azok meglátogatásakor az exploit láthatatlan módon, telepítést sem igényelve („fileless” működés) lefut, megszerzi a kívánt adatokat, majd eltűnik.

Ez azért tud kifejezetten hatékony lenni, mert a támadó számára nem szükséges közvetlen kapcsolat a célponttal, tehát nincs gyanús e-mail vagy link, és ha legitim, a célpont által rendszeresen látogatott weboldalon történik mindez, azzal szemben magas az illető bizalma, ráadásul mindez gyakran külön gombnyomás nélkül, tehát zero-click jelleggel történik.

Mihez férhet hozzá?

A DarkSword az elérhető információk alapján hozzáférhet például az üzenetekhez, a híváslistához, a kontaktokhoz, a helyadatokhoz, a böngészési előzményekhez, a mentett jelszavakhoz, az iCloud fájlokhoz, a fotókhoz és videókhoz, és így tovább.

Hogyan védekezhetünk ellene?

Amennyiben a készülékünkön az arra hivatalosan elérhető szoftver-verzió fut, akkor általában már védettek vagyunk. Jelenleg elsősorban azok lehetnek érintettek, akiknek a készüléke ugyan támogatja az 26-os verziót, de arra bármilyen okból még nem frissítettek.

Ebben az esetben két lehetőség van:

1. frissítünk a 26-os verzió legutóbbi változatára,
2. vagy pedig bekapcsoljuk a Zárt módot.

A Zárt mód egy opcionális és rendkívül erős védelmi fokozat, amelyet kifejezetten azoknak a keveseknek fejlesztett az Apple, akiknek munkájuk vagy kilétük miatt a legkifinomultabb digitális fenyegetésekkel kell szembenézniük – és noha az ördög sosem alszik, a legtöbb embert soha nem érik ilyen jellegű támadások.

Milyen korlátozásokkal jár a Zárt mód bekapcsolása?

Azt gondolhatjuk, hogy ebben az esetben akkor a Zárt mód lesz a kiváló megoldás arra, hogy védve legyünk, de mégse kelljen a 26-ra frissíteni, hanem továbbra is maradhassunk a 18-as verzión.

Ha bekapcsoljuk a Zárt módot, a készülék a megszokottól eltérően fog működni. Annak érdekében, hogy csökkenjen a támadási felület, amelyet a kémprogramok kihasználhatnak, a rendszer a biztonság érdekében szigorúan korlátozza bizonyos alkalmazások, webhelyek és funkciók használatát, sőt bizonyos képességeket teljesen le is tilt.

Például az alábbiakkal kell számolnunk:

• Üzenetek | A rendszer letiltja a legtöbb melléklettípust, kivéve bizonyos képeket, videókat és hangtartalmakat. Egyes funkciók nem lesznek elérhetők, köztük például a hivatkozások és a hivatkozások előnézete.
• Webböngészés | A rendszer letilt néhány összetett webes technológiát, így előfordulhat, hogy egyes webhelyek lassabban töltődnek be, vagy nem fognak megfelelően működni. Emellett előfordulhat, hogy bizonyos betűtípusok nem jelennek meg az interneten, és hogy egyes képek helyett a hiányzó képet jelző ikon lesz látható.
• FaceTime | A rendszer csak azokat a bejövő FaceTime-hívásokat engedi át, amelyeknél felhívtuk az adott kontaktot az elmúlt 30 nap során. Az olyan funkciók, mint a SharePlay és a Live Photos nem érhetőek el.
• Apple-szolgáltatások | A rendszer csak azokat az Apple-szolgáltatásokra vonatkozó meghívásokat engedi át (például ha meghívnak minket egy otthon kezelésére az Otthon alkalmazásban), amelyeknél korábban már mi is küldtünk meghívót az adott személynek. A Fókusz és a kapcsolódó állapot nem működik megfelelően. A Game Center is le van tiltva.
• Fényképek | Fényképek megosztásakor a helyadatok nem szerepelnek. A rendszer eltávolítja a megosztott albumokat a Fotók appból, és nem fogad új megosztott albumokra szóló meghívásokat sem. Más készülékeken, amelyeken nem aktív a Zárt mód, továbbra is megtekinthetjük ezeket a megosztott albumokat.
• Készülékek csatlakoztatása | Az iPhone-t vagy az iPadet csak úgy lehet kiegészítőkhöz vagy számítógépekhez csatlakoztatni, ha feloldjuk a készülék zárolását. Ha egy Apple-chippel szerelt Mac laptopot szeretnénk csatlakoztatni egy kiegészítőhöz, fel kell oldanunk a Mac zárolását, és jóvá kell hagynunk a műveletet.
• Vezeték nélküli kapcsolat | A készülék nem csatlakozik automatikusan nem biztonságos Wi-Fi-hálózatokhoz, és a Zárt mód bekapcsolásakor megszakad a kapcsolat a nem biztonságos Wi-Fi-hálózattal. A 2G és 3G mobilhálózati támogatás ki van kapcsolva iPhone és iPad készülékeken.
• Konfigurációs profilok | Zárt módban nem lehet konfigurációs profilokat telepíteni, és a készüléket nem lehet sem mobileszköz-felügyeleti, sem eszközfelügyeleti megoldásokba regisztrálni. Ha a készülék a Zárt mód engedélyezése előtt már regisztrálva volt a mobileszköz-felügyeletbe, a Zárt mód bekapcsolása után is felügyelhető vele.

A telefonhívások és az egyszerű szöveges üzenetek továbbra is működnek, amíg a Zárt mód be van kapcsolva, viszont a bejövő hívások nem csörögnek a párosított Apple Watch-on. A Zárt mód nem befolyásolja a vészhelyzeti funkciókat, például az SOS-segélyhívásokat.

Ha a Zárt mód mellett döntünk

Ha a Zárt módot választjuk, azt az alábbiak alapján tudjuk bekapcsolni:

1. Nyissuk meg a Beállítások alkalmazást.
2. Koppintsunk az Adatvédelem és biztonság lehetőségre.
3. Görgessünk le, és koppintsunk a Zárt mód, majd a Zárt mód bekapcsolása elemre:
   
4. Koppintsunk a Zárt mód bekapcsolása lehetőségre.
5. Koppintsunk a Bekapcsolás és újraindítás elemre, majd adjuk meg a készülék jelkódját.

Az Apple ettől függetlenül mindenkinek azt javasolja, hogy ha a készüléke támogatja, akkor frissítsen:

Az aktivált Zárt móddal rendelkező eszközök is védelmet élveznek az ilyen támadásokkal szemben, még elavult szoftver esetén is, de ezeket is a lehető leghamarabb frissíteni kell az iOS legújabb verziójára.

Te frissítettél már, vagy továbbra is kitartasz az iOS 18 mellett?