Der DarkSword-Exploit ist eine hochgefährliche Schwachstelle, die Apples iOS-Geräte kompromittieren kann, ohne das Gerät vollständig zu rooten. Das macht sie besonders tückisch: Während andere Exploits wie die Coruna-Suite das gesamte System durchdringen und damit möglicherweise durch Root-Detection erkannt werden können, arbeitet DarkSword subtiler. Sie erlangt nur ausreichende Privilegien, um auf Prozesse mit Ring-0-Zugriff zuzugreifen – eine Methode, die deutlich schwerer zu erkennen ist.
Apple hatte die DarkSword-Schwachstellen ursprünglich nur in iOS 26 gepatcht. Anfang März folgte ein Update für Geräte, die zu alt für iOS 26 sind. Doch iOS-18-Nutzer saßen dazwischen fest. Diese Gruppe konnte entweder upgraden oder auf Sicherheit verzichten – bis zum 1. April, als Apple nach dem GitHub-Leak der Exploits nachgab.
Justin Albrecht vom Sicherheitsunternehmen Lookout lobt Apples späte Einsicht: “Apple hat beispiellose Maßnahmen gegen DarkSword und Coruna ergriffen, einschließlich rückwirkender Patches und Benachrichtigungen.” Doch die Verzögerung bleibt problematisch. Rocky Cole, Co-Gründer von iVerify, sieht DarkSword sogar als gefährlicher als das früher bekannt gewordene Coruna an – gerade weil mehr Nutzer iOS 18 verwenden als ältere Versionen.
Besonders für Unternehmen ist dies ein Dilemma: Viele Organisationen arbeiten mit einem “n-minus-one”-Patch-Management, bei dem Geräte bewusst eine Version hinter der neuesten laufen. Diese Nutzer waren völlig ungeschützt. Cole warnt: “Wenn die Patches nicht auf alle Versionen rückwirkend verteilt werden, wie sollen sich diese Nutzer verteidigen?”
Lookout meldet bereits mehrere aktive Kampagnen mit DarkSword, darunter eine Phishing-Attacke der Gruppe TA446, die das Atlantic Council spoofed hat. Cole fasst die zentrale Warnung zusammen: “Der Markt für n-day-iOS-Exploit-Kits explodiert. Die Preise sind massiv gefallen. DarkSword und Coruna sind nun gepatcht, aber wie viele weitere Kits sind da draußen?”