iOS unter Beschuss

DarkSword:

Wie Hacker mit Exploit-Chains Millionen iPhones angreifen können

Mit dem Bericht von Google Threat Intelligence vom März 2026 ist DarkSword zu einem der aktuell relevantesten Themen im Bereich mobiler Angriffe geworden. Es handelt sich um eine iOS-Exploit-Chain, die bereits seit mindestens November 2025 aktiv eingesetzt wird [1]. Ein kurzer Begriffskontext: Ein Exploit ist Code, der gezielt eine Schwachstelle in Software ausnutzt. Eine Exploit-Chain kombiniert mehrere solcher Schwachstellen, um Schritt für Schritt mehr Kontrolle über ein System zu erlangen. Genau das macht DarkSword besonders relevant. Es geht nicht um eine einzelne Lücke, sondern um eine komplette Angriffskette.

Technischer Aufbau der Exploit-Chain

DarkSword kombiniert insgesamt sechs Schwachstellen, darunter mehrere sogenannte Zero-Days. Das sind Sicherheitslücken, die zum Zeitpunkt des Angriffs noch nicht öffentlich bekannt oder gepatcht waren [1]. Die Angriffskette besteht aus mehreren aufeinander aufbauenden Schritten:

Remote Code Execution
Angreifer bringen das Gerät dazu, eigenen Code auszuführen. In diesem Fall über Schwachstellen in WebKit bzw. JavaScriptCore, also der Engine hinter Safari

Sandbox Escape
Die Isolation von Browser-Prozessen wird umgangen, sodass der Angreifer Zugriff auf weitere Systembereiche erhält

Privilege Escalation
Im letzten Schritt werden Systemrechte erweitert, bis Code mit Kernel-Rechten ausgeführt werden kann. Der Kernel steuert zentrale Funktionen des Betriebssystems

Google beschreibt dabei konkret eine Kette aus JavaScriptCore-Exploitation, GPU-basierter Sandbox-Umgehung und einer Kernel-Schwachstelle im Dateisystem (VFS), die zusammen die vollständige Kontrolle ermöglichen. Erst diese Kombination macht den Angriff so wirkungsvoll.

Einstieg und Ablauf im Detail

Der Angriff beginnt über präparierte Webseiten. Sobald ein Nutzer eine solche Seite öffnet, wird im Hintergrund Code geladen, der die Exploit-Chain startet. Der Ablauf ist dabei gezielt gesteuert:

• Gerät und iOS-Version werden erkannt
• passende Exploit-Varianten werden geladen
• der Angriff wird nur bei geeigneten Zielen fortgesetzt

In einer dokumentierten Kampagne wurde eine Snapchat-ähnliche Seite verwendet. Der Exploit wurde über JavaScript nachgeladen und anschließend ausgeführt. Ein technisches Detail: Wurde die Seite über Chrome geöffnet, versuchte der Code gezielt, den Nutzer in Safari umzuleiten. Hintergrund ist, dass die Exploit-Chain auf WebKit basiert. Nach erfolgreicher Ausführung werden Nutzer auf legitime Webseiten weitergeleitet, um den Angriff zu verschleiern [1].

Skalierung: Vom gezielten Angriff zur breiteren Nutzung

Ein wesentlicher Unterschied zu früheren iPhone-Angriffen liegt in der Verbreitung. Hochentwickelte Exploits wurden lange Zeit nur gegen einzelne Zielpersonen eingesetzt. DarkSword zeigt eine andere Entwicklung:

• dieselbe Exploit-Chain wird in mehreren Kampagnen verwendet
• verschiedene Akteure greifen darauf zu
• Angriffe werden über mehrere Webseiten verteilt

Reuters berichtet, dass solche Exploits unter anderem über kompromittierte Webseiten verteilt wurden, was auf eine breitere operative Nutzung hindeutet [2].

Potenzielle Reichweite

Die potenzielle Reichweite ist hoch. Schätzungen zufolge waren mehrere hundert Millionen iPhones grundsätzlich verwundbar, da viele Geräte ungepatchte Versionen nutzten [2]. Wichtig ist dabei: Diese Zahl beschreibt die potenziell angreifbare Gerätebasis, nicht die Anzahl tatsächlich kompromittierter Geräte.

Payload und nachgelagerte Komponenten

Die Exploit-Chain selbst dient nur dazu, Zugriff auf das Gerät zu erlangen. Die eigentlichen Funktionen werden durch sogenannte Payloads umgesetzt. Google identifiziert drei Varianten:

• GHOSTKNIFE Backdoor mit Zugriff auf Nachrichten, Accounts, Screenshots und Mikrofon sowie Funktionen zur Spurenverwischung
• GHOSTSABER Datensammlung und Remote-Code-Ausführung, inklusive Zugriff auf Dateien und Datenbanken
• GHOSTBLADE Umfangreiche Datenerfassung, darunter Messenger-Daten, Keychain-Inhalte, WLAN-Passwörter, Standortverlauf und iCloud-Daten

Diese Struktur zeigt, dass die gleiche Exploit-Chain für unterschiedliche Ziele eingesetzt werden kann. [1]

Weitere technische Beobachtungen

• Kommunikation zwischen Gerät und Server wurde mit ECDH und AES verschlüsselt
• Device Fingerprinting wurde eingesetzt, um gezielt passende Ziele auszuwählen
• Teile der Exploit-Kette wurden bewusst verschleiert (Obfuskation)
• unterschiedliche Varianten deuten auf Anpassungen durch verschiedene Akteure hin

Einordnung

DarkSword ist kein einzelner Angriff, sondern ein Beispiel für eine aktuelle Entwicklung. Exploits werden kombiniert, wiederverwendet und von mehreren Gruppen parallel eingesetzt. Die technische Herausforderung liegt nicht mehr in einer einzelnen Schwachstelle, sondern in der Fähigkeit, mehrere Exploits zuverlässig zu einer funktionierenden Angriffskette zu verbinden.

Handlungsempfehlungen

• iPhone auf die neueste iOS-Version aktualisieren Alle genutzten Schwachstellen wurden laut Google spätestens mit iOS 26.3 geschlossen
• Geräte mit iOS 18.4 bis 18.7 besonders kritisch prüfen Diese Versionen waren direkt Ziel der Exploit-Kette
• Updates zeitnah einspielen Die größte Angriffsfläche entsteht zwischen Veröffentlichung eines Patches und dessen Installation
• Mobile Geräte in Patch-Prozesse integrieren Smartphones sollten wie andere kritische Systeme behandelt werden

Fazit

DarkSword zeigt, wie sich mobile Angriffe aktuell entwickeln. Nicht einzelne Exploits sind entscheidend, sondern deren Kombination zu funktionierenden Angriffsketten. Gleichzeitig zeigt der Fall, dass selbst hochentwickelte Angriffstechniken nicht isoliert bleiben, sondern von mehreren Akteuren genutzt und weiterverbreitet werden.

Quellen

[1] Google Threat Intelligence, The Proliferation of DarkSword, März 2026
[2] Reuters, Axios, TechRadar Analysen zur Reichweite und Verbreitung