Apple verteilt bei hinreichend schweren Schwachstellen üblicherweise Patches an zwei Gruppen: an Nutzer des aktuellen Betriebssystems und an Besitzer von Geräten, die für ein Update zu alt sind. Als Forscher im vergangenen Jahr ein Exploit-Kit auf Behördenniveau namens Coruna fanden – mit fünf Exploit-Ketten über 23 Schwachstellen in iOS 13 bis 17.2.1 –, lieferte Apple den Patch an alle Betroffenen aus, auch an nicht aktualisierbare Geräte.
Die Lücke betraf jene Anwender, deren Geräte auf iOS 26 aktualisierbar wären, die aber bei iOS 18 bleiben – etwa wegen der veränderten Bedienoberfläche oder weil Diensttelefone vorgeschrieben eine Version hinter dem Patch-Zyklus laufen müssen. Trotz der Versionsnummern handelt es sich bei iOS 18 und iOS 26 um aufeinanderfolgende Versionen.
Justin Albrecht, leitender Forscher bei Lookout, lobt Apples Vorgehen: „Apple hat bei iOS mehrere beispiellose Schritte gegen DarkSword und Coruna unternommen – darunter die zurückportierten Patches, Warnmeldungen an gefährdete Geräte und veröffentlichte Bedrohungshinweise zu webbasierten Angriffen. Das zeigt, welches Bedrohungsniveau Malware wie DarkSword erreicht, und wenn Apple das so ernst nimmt, sollten es die Nutzer auch tun.“
Die Tragweite von DarkSword wurde laut dem Bericht teils dadurch überlagert, dass Coruna im selben Monat zuvor öffentlich wurde. Coruna konnte die Befehls- und Kontrollkommunikation (C2) über SMS abwickeln. „Man muss nur eine Änderung vornehmen, um Kontakte aus der Kontaktliste zu ziehen und massenhaft Textnachrichten mit Links zu verschicken – schon hat man wurmfähige Malware“, erklärt iVerify-Mitgründer Rocky Cole. Coruna sei dem nächsten an einem katastrophalen Endpunktangriff gekommen, den Apple je auf einem iPhone gesehen habe.
DarkSword wurde zwei Wochen nach Coruna öffentlich und galt dabei weitgehend als Fortsetzung der Coruna-Geschichte. Aus Coles Sicht ist DarkSword jedoch in mancher Hinsicht heimtückischer, weil es das Gerät nicht rootet: „Coruna hat gerootet. Wer also Root-Erkennung betrieb, hatte eine Chance, Coruna zu sehen. Aber DarkSword rootet nicht, es erbt einfach die Privilegien der Prozesse.“ Es verschaffe sich gerade genug Rechteausweitung, um auf Prozessoren mit Ring-0-Zugriff zuzugreifen, und sei dadurch deutlich schwerer zu entdecken.
Cole verweist zudem auf die größere Verbreitung von iOS 18 gegenüber iOS 17 – der jüngsten von Coruna betroffenen Version – und darauf, dass DarkSword auf GitHub veröffentlicht wurde, ohne dass zurückportierte Patches verfügbar waren. Das sei eine Krise, und er hätte schnelleres Handeln erwartet.
DarkSword kursierte bereits unter Kunden von Überwachungssoftware. Seit dem Leak hat Lookout laut Albrecht „eine Handvoll Kampagnen mit der Malware beobachtet, darunter eine E-Mail-Phishing-Kampagne von TA446, die den Atlantic Council fälschte“. Weitere Kampagnen ließen sich keiner bestimmten Gruppe zuordnen; hinzu kämen mehrere Fälle, in denen die Malware offenbar zu unbekannten Zwecken getestet wurde.
Cole sieht in Apples Umgang mit den Updates ein Risiko für Unternehmen, etwa bei einer „n-minus-eins“-Patch-Vorgabe, die nur eine Version hinter dem aktuellen Stand erlaubt. Würden Patches nicht auf alle Versionen zurückportiert, sei eine reine Patch-Strategie künftig nicht mehr ausreichend. Zugleich warnt er, der Markt für n-Day-Exploit-Kits für iOS explodiere und die Preise fielen rasch – offen bleibe, wie viele solcher Kits noch existierten.
