Apple sa prezentuje ako firma s uzavretým ekosystémom, ktorý často obhajuje vysokou mierou zabezpečenia používateľských dát. Táto ochrana však nie je úplne garantovaná. Viackrát sa ukázalo, že ani Apple nie je imúnny voči bezpečnostným hrozbám. A žiaľ, teraz prichádza ďalší dôkaz.
Len niekoľko týždňov po tom, čo došlo k odhaleniu exploit kitu s názvom Coruna, Apple ďalšej vážnej hrozbe. Bezpečnostní výskumníci odhalili nový malware pre iPhone s názvom DarkSword, ktorý dokáže v priebehu len niekoľkých minút odcudziť heslá, správy aj obsah kryptopeňaženiek. To všetko bez toho, aby si obeť čokoľvek všimla. A rozhodne nejde o ojedinelú hrozbu. Potenciálnej hrozbe má byť vystavených 220 až 270 miliónov iPhonov po celom svete.
Čo presne DarkSword je?
Tento malvér pôvodne odhalil výskumný tím zložený z odborníkov Google Threat Intelligence Group (GTIG), bezpečnostnej firmy Lookout a mobilnej bezpečnostnej spoločnosti iVerify. Svoje vzájomne koordinované analýzy publikovali v rovnaký deň.
Ako uvádza Lookout vo svojej tlačovej správe, DarkSword predstavuje komplexný iOS exploit chain, teda reťazec viacerých zraniteľností, ktoré na seba nadväzujú a spolu umožňujú plné prevzatie kontroly nad zariadením. Cieli pritom hlavne na iPhony so staršími verziami iOS, menovite iOS 18.4 až 18.6.2. Toto nie sú úplne neaktuálne systémy, vydané boli len rok, respektíve necelý dozadu.
DarkSword bol pritom identifikovaný na tých istých serveroch ako exploit kit Coruna, ktorý sme spomenuli v úvode, a ktorý bol odhalený začiatkom tohto mesiaca. Oba nástroje pritom majú spoločného menovateľa, menovite skupinu označovanú ako UNC6353. Google sa domnieva, že pochádza z Ruska.
BleepingComputer uvádza, že táto skupina použila DarkSword na cielené útoky na používateľov iPhonov na Ukrajine a žiaľ, údajne sa jej podarilo infiltrovať legitímne ukrajinské spravodajské weby či dokonca vládne platformy.
Stačí navštíviť webstránku
Dôležitou skutočnosťou je, že aby si svoje zariadenie nakazil týmto malvérom, nemusíš klikať na podozrivé súbory ani sťahovať akékoľvek aplikácie. Postačí už len to, že navštíviš kompromitovanú webstránku v prehliadači, ktorý na svojom iPhone používaš. A nie, ani tu “netreba” na nič ťukať.
Útok totiž prebieha automaticky, na pozadí, bez vedomia používateľa. Portál Mashable dodáva, že malvér po úspešnom prieniku rýchlo extrahuje (ukradne) citlivé dáta a následne po sebe vymaže všetky stopy. Aj keby si teda neskôr nejakým spôsobom nadobudol podozrenie, že sa niečo stalo, pri neskoršej analýze, hoc aj dôkladnej, by si zrejme nič nenašiel.
Treba pritom zdôrazniť, že DarkSword nie je vycvičený na trénovanie len hŕstky údajov, ktoré, ak sa otočia pri tebe, nepredstavujú akúkoľvek hrozbu. Práve naopak, záber malvéru je v tomto smere mimoriadne široký.
Podľa uskutočnených analýz môže ísť o záznamy hovorov, kontakty, poznámky, snímky obrazovky, históriu prehliadania, heslá uložené v kľúčenke, Wi-Fi heslá, obsah iCloudu, SIM karty, nastavenia Nájsť môj iPhone, ako aj správy z iMessage, e-maily, konverzácie z WhatsApp a Telegramu.
Neprehliadnite
Osobitne alarmujúca je schopnosť malvéru pristupovať k obsahu kryptomenových peňaženiek. Takže ak dlhodobo investuješ do kryptomien, hrozí nielen to, že ti ukradnú konverzácie, ale aj tvoje možno aj celoživotné úspory.
Stovky miliónov zraniteľných zariadení
Ako sme už spomenuli, zraniteľných zariadení nie je málo. Nie sú to tisíce, ani státisíce, ale milióny. Agentúra Reuters, ktorá informovala o koordinovanom zverejnení výskumu, uvádza odhad iVerify a Lookout na 220 až 270 miliónov zariadení, ktoré stále bežia na zraniteľných verziách iOS.
Je dôležité zdôrazniť, že tento odhad vychádza z verejne dostupných štatistík o distribúcii verzií iOS, pričom ho nie je možné úplne presne overiť. Samotní výskumníci pripúšťajú, že skutočný počet ohrozených zariadení nie je jasný. Môže byť menší, ale pokojne aj väčší.
Situáciu komplikuje aj skutočnosť, že mnohí používatelia jednoducho kašlú na aktualizácie. V mnohých prípadoch majú dokonca vypnutú automatickú distribúciu, lebo im príde, že ten nočný reštart telefónu raz za čas za to jednoducho nestojí.
Netreba však zabúdať ani na to, že pre mnohých sú uvedené verzie iOS, presnejšie iterácie iOS 18, poslednými aktualizáciami kvôli skončeniu softvérovej podpory. Najviac ohrození sú teda majitelia starších iPhonov, ktorí jednoducho nemajú možnosť aktualizovať na novší softvér.
O to vážnejšia situácia pre túto skupinu používateľov je, keď do rovnice započítame aj to, že DarkSword predstavuje takzvanú zero-day zraniteľnosť. To znamená, že v čase objavenia útoku výskumníkmi šlo o dovtedy neznáme bezpečnostné diery, pre ktoré Apple ešte nevydal záplatu.
Čo hovorí Apple a ako sa chrániť
Apple na zverejnené zistenia však už zareagoval vyhlásením, že záplaty pre zraniteľnosti využívané v rámci DarkSword boli vydané v rámci pravidelných aktualizácií iOS. Zdôraznil, že útoky primárne cielili na zariadenia so zastaraným softvérom a že pravidelná aktualizácia systému zostáva najúčinnejším spôsobom ochrany.
Škodlivé domény identifikované Google boli zablokované prostredníctvom funkcie Apple Safe Browsing v prehliadači Safari.
Ak teda tvoj iPhone beží na iOS 18.4 až 18.6.2, pričom máš možnosť prejsť na novšiu verziu, platí pre teba celkom priamočiare odporúčanie: aktualizuj, a to čo najskôr.
Pre tých, ktorých zariadenie iOS 26 nepodporuje, je kľúčové nainštalovať posledné dostupné bezpečnostné záplaty pre ich verziu systému. A zrejme nebude na škodu ani poobzerať sa po novšom zariadení. DarkSword je len jedným z mnohých príkladov toho, ako veľmi rizikové môže byť používanie neaktuálneho softvéru.
Nová éra komerčného spyvéru
DarkSword a Coruna spolu naznačujú nástup znepokojivého trendu. Rocky Cole, spoluzakladateľ a prevádzkový riaditeľ iVerify, poukázal na to, že sofistikované exploit kity tohto typu boli donedávna doménou výlučne štátnych spravodajských agentúr. Skutočnosť, že sa dostali do rúk skupín, ktoré sa chcú finančne obohatiť naznačuje, že sa formuje širší komerčný ekosystém okolo predaja a šírenia takýchto nástrojov.
Justin Albrecht, hlavný výskumník Lookout, uviedol, že existuje overený kanál nedávnych exploitov, ktoré sa dostali do rúk potenciálne kriminálnych subjektov s finančným zámerom. Ak sa tento trh naozaj rozširuje mimo tradičné štátne aktéry, je vysoko pravdepodobné, že sofistikované útoky na bežných používateľov iPhonov už nebudú len raritou, ale bežnou vecou.
