Forside Teknologi DarkSword på iPhone: Hjemmesider kunne bryde ud af Safari-sandkassen og...

DarkSword på iPhone: Hjemmesider kunne bryde ud af Safari-sandkassen og stjæle alt

DarkSword på iPhone: Hjemmesider kunne bryde ud af Safari-sandkassen og stjæle alt
Foto: Senest.dk / AI Genereret

Apple udvidede 1. april en iPhone-opdatering, der lukker spyware-kæden DarkSword.

Et besøg på en kompromitteret hjemmeside var alt, der skulle til. Derefter kunne angriberen tappe alt fra fotos og adgangskoder til indholdet af WhatsApp og krypto-wallets, uden at ofret mærkede noget.

Den 1. april udvidede Apple sikkerhedsopdateringen iOS 18.7.7 til en gruppe ældre enheder, der ikke automatisk havde fået rettelserne tidligere. Udvidelsen dækker iPhone XS, iPhone XS Max, iPhone XR og iPad 7. generation.

Baggrunden er en omfattende spyware-kampagne, Googles trusselsforskere har dokumenteret. Værktøjet, kaldet DarkSword, kombinerer seks sårbarheder i iOS og Safari. Tre af dem var nul-dage, da de blev opdaget, og kæden har været i brug siden mindst november 2025.

To spring ud af Safari-sandkassen

Det centrale i DarkSword er to separate sandbox-escapes. Først udnyttes en hukommelsesfejl i grafikbiblioteket ANGLE til at bryde fra Safaris WebContent-proces ind i GPU-processen. Derfra springer koden videre til systemtjenesten mediaplaybackd via en fejl i iOS-kernens hukommelseshåndtering.

På toppen ligger en JavaScriptCore-sårbarhed, der kører selve den ondsindede kode i browseren, og flere kerne-sårbarheder, der giver læse- og skriveadgang til kernen. Tilsammen får angriberen fodfæste på kerne-niveau.

Et komplet data-røveri

Når kæden lykkes, installeres et tyveri-modul. Bleeping Computer har gennemgået listen over, hvad spyware-en samler op: gemte adgangskoder, fotos, WhatsApp- og Telegram-databaser, sms-beskeder, kontakter, browserhistorik, wi-fi-koder og Apple Health-data. Modulet går desuden målrettet efter krypto-wallets som Coinbase, Binance og Ledger.

Ofrene findes ifølge Googles forskere primært i Saudi-Arabien, Tyrkiet, Malaysia og Ukraine. Den russisk-forbundne gruppe UNC6353 har brugt kæden i vandhulsangreb mod ukrainske mål, hvor brugeren smittes ved blot at besøge en kompromitteret men ellers almindelig hjemmeside.

Sådan opdaterer du

iPhones og iPads med automatiske opdateringer slået til får rettelserne leveret af sig selv. Manuel opdatering sker via Indstillinger, Generelt og Softwareopdatering.

Apples seneste version til den ældre iOS 18-branche, iOS 18.7.9, udkom 11. maj og samler både DarkSword-rettelserne og nyere patches i én installation. Det er den, ejere af iPhone XS, XR og iPad 7. generation bør gå direkte til. På endnu ældre modeller, der ikke længere får iOS-opdateringer, anbefaler både Google og Apple at slå Lockdown Mode til som ekstra værn mod den type kæder, DarkSword er bygget på.

Ads by MGDK