DarkSword - Ein dunkles Schwert, um iOS zu überwinden

Googles Threat Intelligence Group (GTIG), Lookout und iVerify warnen vor einer neuen Exploit-Kette, welche sie als DarkSword (Dunkles Schwert) identifiziert haben. Der Angriff nutzt eine Kombination aus mehreren Sicherheitslücken, um iPhones komplett zu übernehmen. Laut GTIG haben die Angriffe bereits im November 2025 begonnen und werden von kommerziellen Anbietern für Spionagesoftware sowie von staatlich finanzierten Akteuren durchgeführt. Die Ziele des Angriffs befinden sich primär in Saudi-Arabien, der Türkei, Malaysia und der Ukraine.

DarkSword funktioniert auf den iOS-Versionen 18.4 bis 18.7 und kombiniert sieben Sicherheitslücken, von denen vier schon vor ihrer Entdeckung attackiert wurden. Hier eine Übersicht der Schwachstellen:

• CVE-2025-31277: Ermöglicht Speichermanipulationen im JavaScriptCore (rce_module.js), behoben seit iOS 18.6
• CVE-2026-20700: Ermöglicht das Umgehen des Zeigerauthentifizierungscodes (PAC) im Benutzermodus (rce_worker_18.4.js), behoben seit iOS 26.3
• CVE-2025-43529: Ermöglicht Speichermanipulationen im JavaScriptCore (rce_worker_18.6.js und rce_worker_18.7.js), behoben seit iOS 18.7.3 bzw. 26.2
• CVE-2026-20700: Ermöglicht das Umgehen des Zeigerauthentifizierungscodes (PAC) im Benutzermodus (rce_worker_18.6.js und rce_worker_18.7.js), behoben seit iOS 26.3
• CVE-2025-14174: Ermöglicht Speichermanipulationen in ANGLE (sbox0_main_18.4.js und sbx0_main.js), behoben seit iOS 18.7.3 bzw. 26.2
• CVE-2025-43510: Schachstelle im Speichermanagement des iOS-Kernels (sbx1_main.js), behoben seit iOS 18.7.2 bzw. 26.1
• CVE-2025-43520: Schachstelle im Speichermanagement des iOS-Kernels (pe_main.js), behoben seit iOS 18.7.2 bzw. 26.1

Mit der Veröffentlichung von iOS 26.3 Anfang Februar 2026 konnte Apple auch die letzten dieser Schwachstellen beseitigen. Dass dies zeitnah gelang, ist Google zu verdanken, denn GTIG hatte Apple bereits Ende 2025 mit detaillierten Informationen zu den laufenden Angriffen versorgt. Wer noch mit einem älteren iOS unterwegs ist, bleibt derweil angreifbar.

Verläuft die Exploit-Kette erfolgreich, wird Schadcode auf dem Telefon verankert. GTIG hat hierbei drei Malware-Familien, nämlich GHOSTBLADE, GHOSTKNIFE und GHOSTSABER identifizieren können. Die Vorgehensweise erinnert an die zuvor entdeckte Exploit-Kette Coruna iOS, welche von der vermutlich aus Russland stammenden Spionagegruppe UNC6353 eingesetzt wird. Inzwischen soll UNC6353 auch DarkSword verwenden.

Dass DarkSword zunächst für gezielte Angriffe durch staatliche oder staatsnahe Akteure genutzt wurde, soll keine falsche Sicherheit vermitteln. Einerseits gibt es bei solchen Angriffen immer wieder Kollateralschäden bei unbeteiligten Dritten, andererseits bietet sich eine Zweitverwertung einer solchen Angriffskette für rein kriminelle Zwecke an.