Сотни миллионов iPhone под угрозой: обнаружен бесфайловый взлом DarkSword, не оставляющий следов

Владельцев iPhone предупредили о критической угрозе. Специалисты Google, iVerify и Lookout раскрыли данные об инструменте DarkSword, который позволяет взламывать устройства без участия владельца — достаточно зайти на сайт.

iPhone, долгое время считавшийся эталоном безопасности, оказался уязвим перед новой угрозой. Три независимые компании — Google, iVerify и Lookout — одновременно раскрыли данные об инструменте DarkSword, который позволяет взламывать устройства без какого-либо участия владельца. Достаточно просто открыть браузер и зайти на скомпрометированный сайт.

DarkSword относится к классу «бесфайловых» атак, которые раньше встречались почти исключительно на Windows. Вредоносный код не устанавливает приложений и не записывает ничего в память. Вместо этого он перехватывает штатные системные процессы iOS и заставляет их передавать данные наружу.

Всего за несколько минут DarkSword успевает вытащить пароли, фотографии, переписки из соцсетей, историю браузера, заметки, данные из Apple Health и даже ключи от криптокошельков. После перезагрузки следов не остается, но данные уже утекли.

Инструмент содержит две цепочки эксплойтов под разные версии iOS 18. Эта система установлена примерно на четверти всех iPhone в мире. Новая iOS 26 защищает от атаки, но пользователи не спешат обновляться, в том числе из-за спорного интерфейса «жидкого стекла».

DarkSword замечен сразу в нескольких кампаниях. Его автор неизвестен, но есть косвенная улика: одновременно всплыл похожий инструмент Coruna, созданный, по данным TechCrunch, американской компанией Trenchant. Один из бывших сотрудников признал вину в продаже разработок российскому брокеру Operation Zero, который теперь под санкциями.

Раньше такие инструменты использовались точечно — против журналистов и политиков. Теперь их встраивают в обычные сайты и запускают против всех. Рынок брокеров перепродает их без разбора.