Sicherheitsforscher haben einen groß angelegten Angriff auf iPhone-Nutzer öffentlich gemacht, der unter dem Namen "DarkSword" läuft. Das Besondere daran: Betroffene müssen nichts weiter tun, als eine kompromittierte Website zu besuchen. Über eine sogenannte Watering-Hole-Technik schleust ein bösartiges JavaScript-Exploit automatisch Schadcode auf das Gerät. Von dort arbeitet sich der Angriff durch das gesamte iOS-System – vom Browser-Engine WebKit bis in den Kernel – und verschafft sich damit vollständige Kontrolle über das Gerät. Apple hat die betroffene Sicherheitslücken-Kette inzwischen mit iOS 26.3 geschlossen.

Vertrauliche Nutzerdaten in Gefahr

Was DarkSword besonders brisant macht, ist das Ausmaß der Daten, die Angreifer damit abgreifen können. Die Schadsoftware zielt auf WLAN-Passwörter, SMS- und iMessage-Datenbanken, Anruf- und Standortverläufe sowie App-Datenbanken – einschließlich Kryptowährungs-Wallets. Auch Keychain-Dateien und iCloud-Inhalte stehen auf der Zielliste. Damit geht die Bedrohung weit über den typischen Phishing-Angriff hinaus: Sie trifft das Herzstück des Geräts und alles, was darauf gespeichert ist.

Dokumentierte Angriffe richteten sich bislang vorrangig gegen Nutzer in Saudi-Arabien, der Türkei, Malaysia und der Ukraine. Sicherheitsexperten warnen aber ausdrücklich davor, DarkSword als regionales Problem abzutun. Die zugrunde liegenden Exploits sind bereits auf dem Sekundärmarkt verfügbar und wurden laut Analysen von mehreren Akteuren in verschiedenen Ländern übernommen. Das zeigt eine gefährliche Entwicklung: Werkzeuge, die früher nur staatlichen Geheimdiensten zur Verfügung standen, sind heute auch für weniger versierte Angreifer zugänglich. Betroffen sind Geräte mit iOS 18.4 bis 18.7.

Unsichtbar für Mobile Device Management

Für Unternehmen offenbart DarkSword eine strukturelle Schwäche, die viele bisher unterschätzt haben. Klassische Sicherheitslösungen wie Mobile Device Management (MDM) oder Mobile Application Management (MAM) arbeiten auf Betriebssystemebene – sie bekommen eine Kompromittierung auf Prozessebene schlicht nicht mit. Ein Gerät kann also vollständig unter Kontrolle eines Angreifers stehen, ohne dass eine einzige Warnung ausgelöst wird. Sicherheitsexperten empfehlen daher den Einsatz von Mobile Endpoint Detection and Response (MEDR), das genau auf dieser Ebene ansetzt und den blinden Fleck traditioneller Lösungen schließt.

Als zweiter massiver iOS-Angriff binnen zwei Wochen sendet DarkSword ein klares Signal: Zero-Click-Angriffe auf Smartphones sind keine Seltenheit mehr, sondern ein reales und unmittelbares Risiko für Organisationen jeder Größe. Sicherheitsteams sollten betroffene iOS-Versionen umgehend patchen, Netzwerklogs auf Kontakte zu bekannter Watering-Hole-Infrastruktur prüfen und Mitarbeiter über die Dringlichkeit des Updates informieren. Langfristig empfehlen Experten eine vollständige Überprüfung der mobilen Sicherheitsrichtlinien – und den Aufbau eines dedizierten Threat-Intelligence-Feeds für mobile Exploit-Ketten.

Update vom 25.03.: Exploit veröffentlicht

Ein unbekannter Nutzer hat inzwischen eine neuere Version des iPhone-Spionageprogramms DarkSword auf der Code-Plattform GitHub veröffentlicht. Sicherheitsforscher schlagen Alarm: Das Tool lässt sich laut Matthias Frielingsdorf, Mitgründer des Sicherheitsunternehmens iVerify, binnen weniger Minuten bis Stunden auf einem Server einrichten und gegen iPhones und iPads richten, die noch unter iOS 18 oder älteren Versionen laufen.

Da der Code schlicht aus HTML und JavaScript besteht, brauchen potenzielle Angreifer keinerlei iOS-Kenntnisse. Auch Googles Sicherheitsteam bestätigt diese Einschätzung. Ein Hobby-Sicherheitsforscher mit dem Pseudonym matteyeux demonstrierte unterdessen öffentlich auf X, dass er ein iPad mini mit iOS 18 erfolgreich mit dem kursierenden DarkSword-Sample kompromittieren konnte.

Besonders brisant ist das Ausmaß der Bedrohung: Apples eigenen Zahlen zufolge nutzt rund ein Viertel aller iPhone- und iPad-Nutzer noch iOS 18 oder ältere Betriebssystemversionen - bei mehr als 2,5 Milliarden aktiven Geräten weltweit entspricht das potenziell Hunderten Millionen anfälliger Endgeräte. Apple verwies auf ein Notfall-Update vom 11. März für Geräte, die kein aktuelles iOS unterstützen, und empfiehlt dringend, die Software auf dem neuesten Stand zu halten. Geräte mit aktuellem Betriebssystem sowie der aktivierte Lockdown-Modus seien nicht gefährdet.