Exploit-Kette entdeckt: Hacker infiltrieren iPhones durch nur einen Klick

Neben Coruna verfügt die russische Cyberspionagegruppe UNC6353 offenbar über weitere Exploits zur Infiltration von iPhones. Das zeigen neue Berichte von Sicherheitsforschern der Google Threat Intelligence Group(öffnet im neuen Fenster) (GTIG) sowie von iVerify(öffnet im neuen Fenster) und Lookout(öffnet im neuen Fenster) . Sie alle warnen vor einer Exploit-Kette namens Darksword, mit der sich iPhones mit nur einem Klick über den Webbrowser kompromittieren lassen.

Den Angaben zufolge wird Darksword nicht nur von UNC6353 eingesetzt, sondern von mehreren mutmaßlich staatlich unterstützten Cyberakteuren. Attackiert wurden bisherigen Erkenntnissen zufolge Ziele in Saudi-Arabien, der Türkei, Malaysia und der Ukraine. Die Spuren der Exploit-Kette reichen zurück bis November 2025.

Neues aus der Golem Karrierewelt(öffnet im neuen Fenster)

Workshops und Weiterbildungen: Administration von Microsoft 365? So gehts!

zum Artikel

Karriere Ratgeber: Karrieretag Familienunternehmen 2026: Jetzt bewerben und durchstarten

zum Ratgeber

Seminar: Keycloak – Sicheres Identity- & Access-Management: virtueller Drei-Tage-Workshop

zum Kurs

E-Learning: Linux Administration: Benutzer und Gruppen - als Vorbereitung zum Linux Foundation Certified System Administrator (LFCS) (E-Learning)

zum Kurs

Die Google-Forscher listen in ihrem Bericht sechs Sicherheitslücken auf, die im Rahmen der Darksword-Attacken ausgenutzt werden. Durch deren Kombination sollen sich anfällige iOS-Geräte vollständig kompromittieren lassen. Zuerst wird dafür Schadcode in Safari respektive der zugrundeliegenden Browser-Engine Webkit ausgeführt, danach folgen ein Sandbox-Escape sowie eine Rechteausweitung.

Ein falscher Klick schleust Malware ein

Die Exploit-Kette ist vollständig in Javascript implementiert und lässt sich durch den bloßen Aufruf einer entsprechend präparierten Webseite ausnutzen. Die iVerify-Forscher sprechen daher von einem "1-Click-Exploit-Kit" . Ein Opfer muss also lediglich einen vom Angreifer platzierten Link in einer Mail, Chatnachricht oder auf einer Webseite anklicken, um die Infektionskette in Gang zu setzen.

Ziel der Angreifer ist es, Malware einzuschleusen, mit der sich Daten aus E-Mails, SMS, Webbrowsern, Messenger-Apps wie Whatsapp oder Telegram sowie aus vielen anderen Quellen ausleiten lassen. Google nennt in diesem Zusammenhang drei Malware-Familien, die bei der Untersuchung der Angriffe entdeckt wurden: Ghostblade, Ghostknife und Ghostsaber.

Anfällige Versionen und Patches

Als für Darksword anfällig gelten die iOS-Versionen 18.4 bis 18.7. Eine der ausgenutzten Lücken hatte Apple schon mit Version 18.6 gepatcht. Weitere Patches wurden mit späteren Updates ausgeliefert. Erst mit iOS 26.3 wurde die letzte Lücke in der Sammlung geschlossen. Die Sicherheitsforscher empfehlen daher, iPhones auf den neuesten Stand zu bringen, um vor Darksword geschützt zu sein.

Die neueste iOS-Version(öffnet im neuen Fenster) trägt die Versionsnummer 26.3.1 (a). Wer noch ein älteres iPhone verwendet, das nicht mit iOS 26 kompatibel ist, erhält möglicherweise ähnlich wie bei Coruna in Kürze ein separates Update, das vor Darksword-Attacken schützt. Bestätigt ist das allerdings noch nicht. Der Blockierungsmodus von iOS(öffnet im neuen Fenster) soll ebenfalls Schutz bieten, geht aber mit einigen Einschränkungen bei der Bedienung der iPhones einher.

• Anzeige Hier geht es zum iPhone 17 bei Amazon Affiliate-Hinweis
  Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.