DarkSword: Angriff auf iPhones wird durch GitHub-Veröffentlichung zur realen Bedrohung

Ein einziger Besuch auf einer manipulierten Website kann ausreichen, um ein iPhone vollständig zu kompromittieren. Was lange als hochkomplexe Angriffskette galt, rückt mit dem sogenannten DarkSword-Exploit nun deutlich näher an den Alltag heran. Der Grund dafür ist brisant: Der entsprechende Code ist inzwischen öffentlich zugänglich und lässt sich vergleichsweise einfach einsetzen. Die Tragweite dieser Entwicklung ist erheblich. Denn der Angriff beschränkt sich nicht auf einzelne App-Daten oder isolierte Schwachstellen, sondern nutzt eine vollständige Exploit-Kette, die sich vom Browser bis in den Kernel des Betriebssystems vorarbeitet. Damit steht am Ende nicht weniger als die komplette Kontrolle über das Gerät im Raum.

DarkSword nutzt WebKit und Kernel-Schwachstellen aus

Im Kern basiert der Angriff auf einer mehrstufigen Kette, die über den WebKit-Browser-Engine beginnt. Ein präpariertes JavaScript wird beim Aufruf einer kompromittierten Website ausgeführt und dient als Einstiegspunkt. Von dort aus arbeitet sich der Exploit schrittweise durch das System, bis schließlich Kernel-Ebene erreicht wird.

Gerade diese Kombination macht DarkSword so gefährlich. Einzelne Schwachstellen lassen sich oft isoliert betrachten und absichern. Wird jedoch eine Kette aus mehreren Lücken genutzt, entsteht ein ganz anderes Bedrohungsszenario. Der Angreifer bewegt sich dann nicht mehr innerhalb klarer Grenzen, sondern kann systemweit agieren. Genau das unterscheidet DarkSword von klassischen Angriffen, die meist deutlich früher gestoppt werden können.

Umfangreiche Datenzugriffe möglich

Ist ein Gerät kompromittiert, eröffnet sich ein breites Spektrum an Zugriffsmöglichkeiten. Dazu zählen unter anderem WLAN-Zugangsdaten, Kommunikationsinhalte aus SMS und iMessage sowie Anruf- und Standortverläufe. Auch App-Datenbanken geraten ins Visier, darunter insbesondere Kryptowährungs-Wallets.

Besonders kritisch ist der Zugriff auf die Keychain. Hier speichert iOS sensible Zugangsdaten und Tokens, die für zahlreiche Dienste Verwendung finden. In Kombination mit weiteren Systemrechten kann ein Angreifer so nicht nur lokale Daten auslesen, sondern unter Umständen auch auf Cloud-Inhalte zugreifen. Damit geht der Angriff weit über typische Phishing-Szenarien hinaus und betrifft zentrale Bestandteile des gesamten digitalen Alltags.

GitHub-Veröffentlichung senkt Einstiegshürde drastisch

Eine neue Qualität erreicht die Bedrohung durch die Veröffentlichung eines entsprechenden Exploit-Kits auf GitHub. Während solche Angriffswerkzeuge früher meist nur in geschlossenen Kreisen kursierten, sind sie nun prinzipiell öffentlich zugänglich. Das verändert die Ausgangslage deutlich.

Nach Einschätzung von Sicherheitsexperten lässt sich das Tool innerhalb kurzer Zeit aufsetzen. Da es weitgehend auf HTML- und JavaScript-Komponenten basiert, sind keine tiefgehenden Kenntnisse der iOS-Interna erforderlich. Genau darin liegt das eigentliche Risiko. Techniken, die bislang nur spezialisierten Akteuren vorbehalten waren, können nun auch von weniger erfahrenen Angreifern genutzt werden.

Apple hat Schwachstellen bereits geschlossen – aber nicht alle Geräte sind geschützt

Apple hat die zugrunde liegenden Schwachstellen nach eigenen Angaben bereits mit iOS 18.7.3 und iOS 26.3 geschlossen. Geräte, die auf einem aktuellen Systemstand sind, gelten daher als abgesichert. Dennoch bleibt ein erhebliches Restrisiko bestehen. Ein Teil der Nutzer verwendet weiterhin ältere iOS-Versionen, sei es aus Bequemlichkeit oder aufgrund fehlender Update-Unterstützung. Gerade diese Geräte stehen im Fokus, da sie für bekannte Exploits anfällig bleiben. Angesichts der weltweit hohen Anzahl aktiver iPhones ergibt sich daraus ein beträchtliches Angriffspotenzial.