Ein einziger Besuch auf einer manipulierten Website kann ausreichen, um ein iPhone vollständig zu kompromittieren. Was lange als hochkomplexe Angriffskette galt, rückt mit dem sogenannten DarkSword-Exploit nun deutlich näher an den Alltag heran. Der Grund dafür ist brisant: Der entsprechende Code ist inzwischen öffentlich zugänglich und lässt sich vergleichsweise einfach einsetzen. Die Tragweite dieser Entwicklung ist erheblich. Denn der Angriff beschränkt sich nicht auf einzelne App-Daten oder isolierte Schwachstellen, sondern nutzt eine vollständige Exploit-Kette, die sich vom Browser bis in den Kernel des Betriebssystems vorarbeitet. Damit steht am Ende nicht weniger als die komplette Kontrolle über das Gerät im Raum.
DarkSword nutzt WebKit und Kernel-Schwachstellen aus
Im Kern basiert der Angriff auf einer mehrstufigen Kette, die über den WebKit-Browser-Engine beginnt. Ein präpariertes JavaScript wird beim Aufruf einer kompromittierten Website ausgeführt und dient als Einstiegspunkt. Von dort aus arbeitet sich der Exploit schrittweise durch das System, bis schließlich Kernel-Ebene erreicht wird.
Gerade diese Kombination macht DarkSword so gefährlich. Einzelne Schwachstellen lassen sich oft isoliert betrachten und absichern. Wird jedoch eine Kette aus mehreren Lücken genutzt, entsteht ein ganz anderes Bedrohungsszenario. Der Angreifer bewegt sich dann nicht mehr innerhalb klarer Grenzen, sondern kann systemweit agieren. Genau das unterscheidet DarkSword von klassischen Angriffen, die meist deutlich früher gestoppt werden können.
Umfangreiche Datenzugriffe möglich
Ist ein Gerät kompromittiert, eröffnet sich ein breites Spektrum an Zugriffsmöglichkeiten. Dazu zählen unter anderem WLAN-Zugangsdaten, Kommunikationsinhalte aus SMS und iMessage sowie Anruf- und Standortverläufe. Auch App-Datenbanken geraten ins Visier, darunter insbesondere Kryptowährungs-Wallets.
Besonders kritisch ist der Zugriff auf die Keychain. Hier speichert iOS sensible Zugangsdaten und Tokens, die für zahlreiche Dienste Verwendung finden. In Kombination mit weiteren Systemrechten kann ein Angreifer so nicht nur lokale Daten auslesen, sondern unter Umständen auch auf Cloud-Inhalte zugreifen. Damit geht der Angriff weit über typische Phishing-Szenarien hinaus und betrifft zentrale Bestandteile des gesamten digitalen Alltags.
GitHub-Veröffentlichung senkt Einstiegshürde drastisch
Eine neue Qualität erreicht die Bedrohung durch die Veröffentlichung eines entsprechenden Exploit-Kits auf GitHub. Während solche Angriffswerkzeuge früher meist nur in geschlossenen Kreisen kursierten, sind sie nun prinzipiell öffentlich zugänglich. Das verändert die Ausgangslage deutlich.
Nach Einschätzung von Sicherheitsexperten lässt sich das Tool innerhalb kurzer Zeit aufsetzen. Da es weitgehend auf HTML- und JavaScript-Komponenten basiert, sind keine tiefgehenden Kenntnisse der iOS-Interna erforderlich. Genau darin liegt das eigentliche Risiko. Techniken, die bislang nur spezialisierten Akteuren vorbehalten waren, können nun auch von weniger erfahrenen Angreifern genutzt werden.
Apple hat Schwachstellen bereits geschlossen – aber nicht alle Geräte sind geschützt
Apple hat die zugrunde liegenden Schwachstellen nach eigenen Angaben bereits mit iOS 18.7.3 und iOS 26.3 geschlossen. Geräte, die auf einem aktuellen Systemstand sind, gelten daher als abgesichert. Dennoch bleibt ein erhebliches Restrisiko bestehen. Ein Teil der Nutzer verwendet weiterhin ältere iOS-Versionen, sei es aus Bequemlichkeit oder aufgrund fehlender Update-Unterstützung. Gerade diese Geräte stehen im Fokus, da sie für bekannte Exploits anfällig bleiben. Angesichts der weltweit hohen Anzahl aktiver iPhones ergibt sich daraus ein beträchtliches Angriffspotenzial.
Also kurz und knapp;
Diejenigen mit dem #Bequemlichkeit und oder #fehlender Update-Unterstützung sind gebeten, am besten auf und zu gestern, „JavaScript“ im Browser zu deaktivieren.
Genießt ein Werbefreies und zeitgleich sicheres WWW. Übrigens; ohne „JavaScript“ gibt es keine tollen Katzenbilder/ Videos.
Gruß,
Fred.
Tolle Idee. Dann funktioniert der Grossteil der Websites nicht mehr. Dann lieber NoScript installieren und selektiv JavaScript pro Website aktivieren. Oh, warte! Es geht um iOS. Da gibt es kein NoScript. Tragisch. Naja, hier in der Schweiz wird der Besitz eines iPhones eher als Symbol für technisches Unverständnis gewertet. In China gilt ein iPhone als Zeichen von Armut. Aber andere Länder, andere Sitten.
In iOS 26 kann man mit dem Brave Browser JavaScript global ausschalten und Webseiten-bezogen aktivieren, ähnlich wie auf Desktop/Android bei Firefox + uBlockOrigin.
Oh ja schon wider Opensourcer das webkit.
Kann angeschaut werden, wie es funktioniert, die Routinen und dafür schöne schadware programmieren.
Leider ist auch Chromium Opensourcer aber Chrome und Edge updaten ja öfters.
Manchmal hat die Updatesucht auch Vorteile. Bin schon lange auf iOS 26.4. Aber an Beta-Updates nehme ich nicht teil…
Schon lange? Das wurde vorgestern abend veröffentlicht.
Einfach kein Safari nutzen, Firefox gibt es ab iOS 15 / iPadOS 15
nur das (außer seit ios 18 oder so und nur in der EU) trotzdem die Safari-Engine im Hintergrund genutzt wird und der Browser nur das UI macht.
Angebissener fauliger Apfel, mit Zwang ins konzerneigene Ökosystem, who cares?
Den Blödsinn hat sowieso keiner mit einem Funken Verstand.
Davon mal abgesehen ist das einfach wieder mal ein Beispiel dafür, dass der Gesetzgeber den Krattlern in den Vorstandskonzernen endlich mal vorschreiben muss, dass die Geräte mindestens für 10 Jahre normale Updates und für weitere 15 Jahre Sicherheitsupdates bekommen müssen.
Samt den nötigen Hardwarevoraussetzungen, wie ausreichend Speicherplatz für größere OS vorhalten zu müssen, im Idealfall gleich soviel, dass da immer zwei, äh drei Versionen auf dem Gerät vorhanden sein können. Will heißen die Ursprungsversion auf die man immer zurückgreifen kann wenn alles andere schiefgegangen ist und dann die aktuelle und entweder die letzte oder gerade neueste Version die gerade installiert wird und zu der dann nahtlos umgeschaltet wird wenn sie da ist, ohne ekelhafte Installationspausen.
Logischerweise auch vorgeschrieben, dass der Akku KOSTENGÜNSTIG, im Idealfall vom Nutzer selbst getauscht werden kann. Auch da kann die Staub und Wasserdichtigkeit problemlos sichergestellt werden. Konnte man früher mit ordentlichen (gegebenenfalls zwei oder drei, redundanten) Dichtungen und VIELEN, nicht einer Schraube, die den nötigen gleichmäßigen Anpressdruck sicherstellen, auch erreichen.
Also nicht der Fall den sich ein nicht so ganz kleiner Konzern schon mal geleistet hat und vermutlich immer noch leistet, man kauft den Schrott halt nicht mehr. Motto der Akku für das Tablet kostet beim Displaytausch 89 Euro Aufpreis und beim reinen Akkutausch, auch 89 Euro – plus den Preis für einen Displaytausch, weil man ihn sonst nicht tauschen kann.
Wer ist Besitzerin von GitHub? GitHub gehört seit der Übernahme im Jahr 2018 dem Technologiekonzern Microsoft. Die Plattform wurde für ca. 7,5 Milliarden US-Dollar in Aktien erworben, operiert jedoch weiterhin als eigenständiges Unternehmen unter dem Dach von Microsoft. Offensichtlich spielt die Konkurrenz – auch in der Grauzone – oder mehr. Eine leidige Sache für Konsumenten – stärkt das Unternehmen Microsoft keineswegs. Im Gegenteil.