DarkSword iOS Exploit Kit: Was es kann, was nicht

Am 18. März 2026 haben Google Threat Intelligence, iVerify und Lookout koordiniert ein iOS-Exploit-Kit namens DarkSword öffentlich gemacht. Es betrifft iPhones mit iOS 18.4 bis 18.7 – und damit nach Schätzungen von iVerify bis zu 270 Millionen Geräte weltweit. Fünf Tage später wurde der vollständige Exploit-Code auf GitHub geleakt. Was das für iPhone-Nutzer konkret bedeutet, was DarkSword kann, was es nicht kann und warum es kein Jailbreak ist.

Was ist DarkSword?

DarkSword ist kein einzelner Exploit, sondern ein komplettes Angriffs-Kit – vollständig in JavaScript geschrieben. Es verkettet sechs verschiedene Schwachstellen, davon drei Zero-Days, zu einer lückenlosen Angriffskette: vom ersten Kontakt im Browser bis zur vollständigen Übernahme des Geräts auf Kernel-Ebene.

Das Besondere: Der Angriff erfolgt über manipulierte Websites. Das Opfer muss lediglich eine kompromittierte Webseite in Safari öffnen – kein Klick auf einen Link, kein Download, keine Bestätigung. Die Seite lädt, der Exploit läuft, und innerhalb von Sekunden werden Daten abgezogen.

Wer steckt dahinter?

Der ursprüngliche Entwickler von DarkSword ist nicht öffentlich bekannt. Die Analyse von Google deutet darauf hin, dass ein kommerzieller Exploit-Entwickler das Kit an mehrere Kunden verkauft oder lizenziert hat. Mindestens drei verschiedene Akteure haben DarkSword eingesetzt:

• UNC6353 – eine mutmasslich russische Spionagegruppe, die seit Dezember 2025 ukrainische Ziele über sogenannte Watering-Hole-Angriffe (kompromittierte Websites) attackiert
• PARS Defense – ein türkischer Überwachungstechnologie-Anbieter, der das Kit gegen Ziele in der Türkei und Malaysia eingesetzt hat
• UNC6748 – ein nicht näher identifizierter Akteur, der über eine gefälschte Snapchat-Website Nutzer in Saudi-Arabien ins Visier genommen hat

DarkSword hat nichts mit NSO Group (Pegasus) oder anderen bekannten Spyware-Anbietern zu tun. Es handelt sich um ein eigenständiges Produkt eines bisher unbekannten Exploit-Brokers.

Was DarkSword kann: Die Fähigkeiten im Detail

Sobald das iPhone kompromittiert ist, kann DarkSword praktisch auf alle persönlichen Daten zugreifen. Die dokumentierten Fähigkeiten umfassen:

Kommunikation

• SMS und iMessage-Nachrichten
• Telegram- und WhatsApp-Chatverläufe
• E-Mail-Inhalte

Zugangsdaten und Konten

• Benutzernamen und Passwörter aus dem Schlüsselbund (Keychain)
• WLAN-Konfigurationen und -Passwörter
• Safari-Browserverlauf und Cookies

Kryptowährungen

DarkSword zielt gezielt auf über 13 Krypto-Plattformen ab, darunter Coinbase, Binance, Kraken, MetaMask und Ledger. Es werden Exchange-Zugangsdaten und Wallet-Schlüssel gestohlen.

Persönliche Daten

• Fotos und deren Metadaten
• Kontakte und Anrufhistorie
• Standortverlauf
• Kalender, Notizen und Health-Daten
• iCloud Drive-Dateien
• Liste aller installierten Apps

Überwachung

• Screenshots des Bildschirms
• Audioaufnahmen
• Dateisystem-Zugriff und Download beliebiger Dateien

In kurzen Worten: DarkSword kann praktisch alles auslesen, was auf dem iPhone gespeichert ist.

Warum DarkSword kein Jailbreak ist

Trotz des tiefen Systemzugriffs ist DarkSword fundamental anders als ein Jailbreak. Das ist ein wichtiger Unterschied, den man verstehen sollte.

Ein Jailbreak verändert das Betriebssystem dauerhaft. Er deaktiviert Sicherheitsmechanismen, installiert einen Paketmanager (wie Cydia) und ermöglicht es, unsignierte Apps zu installieren und das System nach eigenen Wünschen anzupassen. Das Gerät bleibt nach einem Jailbreak dauerhaft verändert.

DarkSword funktioniert grundlegend anders:

• Keine dauerhafte Systemveränderung: DarkSword modifiziert weder die Systempartition noch installiert es dauerhafte Software. Nach dem Datendiebstahl räumt das Kit hinter sich auf und löscht alle Spuren.
• Keine Installation unsignierter Apps: Es ist nicht möglich, über DarkSword eigene Apps oder Tweaks zu installieren. Der Angriff läuft vollständig über JavaScript in gekaperten Systemprozessen.
• Kein Umgehen von PPL/SPTM: DarkSword umgeht bewusst nicht die Page Protection Layer (PPL) und den Secure Page Table Monitor (SPTM) – die iOS-Schutzmechanismen, die die Ausführung von unsigniertem nativem Code verhindern. Genau das wäre für einen Jailbreak notwendig.
• Keine Persistenz: Der gesamte Vorgang – vom Exploit über den Datenabzug bis zur Bereinigung – dauert Sekunden bis wenige Minuten. Danach ist das Kit weg. Ein Neustart des Geräts beseitigt jede Spur.
• Begrenztes Zeitfenster: DarkSword funktioniert nur auf iOS 18.4 bis 18.7. Ein Jailbreak zielt typischerweise auf breite Versionsunterstützung ab.

Vereinfacht gesagt: DarkSword ist ein chirurgisches Einbruchswerkzeug, das schnell zuschlägt und wieder verschwindet. Ein Jailbreak ist ein dauerhafter Umbau des Sicherheitssystems. DarkSword stiehlt Daten – es öffnet das iPhone nicht für den Besitzer.

Wie der Angriff technisch funktioniert

DarkSword nutzt sechs Schwachstellen in einer Kette, drei davon waren zum Zeitpunkt der Ausnutzung Zero-Days (also Apple noch unbekannt):

• Schritt 1 – Codeausführung im Browser: Zwei Schwachstellen in JavaScriptCore (CVE-2025-31277 und CVE-2025-43529) ermöglichen es, beim Laden einer Webseite beliebigen Code im Safari-Prozess auszuführen.
• Schritt 2 – Sicherheitsmechanismen umgehen: Eine Schwachstelle in dyld (CVE-2026-20700) umgeht die Pointer Authentication Codes (PAC) und weitere Schutzmechanismen wie TPRO und SPRR.
• Schritt 3 – Sandbox-Ausbruch: Über eine Schwachstelle in ANGLE/WebGL (CVE-2025-14174) bricht der Exploit aus Safaris Sandbox in den GPU-Prozess aus.
• Schritt 4 – Systemrechte erlangen: Zwei Kernel-Schwachstellen (CVE-2025-43510 und CVE-2025-43520) verschaffen vollständigen Lese- und Schreibzugriff auf den Kernel-Speicher.
• Schritt 5 – Daten abziehen: Mit Kernel-Rechten injiziert DarkSword seinen Payload in Springboard (den Homescreen-Prozess) und greift auf sämtliche Daten zu.

Die gesamte Kette ist in JavaScript geschrieben – eine architektonische Entscheidung, die es dem Kit ermöglicht, bestimmte Hardware-Schutzmechanismen zu umgehen, die nur nativen Binärcode betreffen.

Wie viele Geräte sind betroffen?

DarkSword betrifft iPhones mit iOS 18.4 bis 18.7. Laut iVerify liefen zum Zeitpunkt der Veröffentlichung bis zu 270 Millionen iPhones auf verwundbaren iOS-Versionen. Andere Schätzungen sprechen von rund 221 Millionen Geräten – etwa 14 Prozent aller aktiven iOS-Geräte weltweit.

Die erste bekannte Kampagne begann im November 2025. Zu diesem Zeitpunkt waren die betroffenen iOS-Versionen aktuell, das heisst ein deutlich grösserer Teil der iPhone-Nutzer war verwundbar als heute.

Das Problem hat sich am 23. März 2026 verschärft: Der vollständige Exploit-Code wurde auf GitHub veröffentlicht. Laut iVerify-Mitgründer Matthias Frielingsdorf sind die Exploits «viel zu einfach weiterzuverwenden» – jeder mit grundlegendem Webhosting-Wissen kann sie innerhalb von Stunden einsetzen.

Apple hat gepatcht – aber schrittweise

Apple hat alle sechs Schwachstellen behoben, allerdings über einen Zeitraum von mehreren Monaten. In den offiziellen Security Advisories beschreibt Apple die drei Zero-Days als Schwachstellen, die «in einem äusserst ausgeklügelten Angriff gegen gezielt ausgewählte Einzelpersonen» ausgenutzt wurden.

• Juli 2025 – iOS 18.6: CVE-2025-31277 (JavaScriptCore) gepatcht
• November 2025 – iOS 18.7.2 / iOS 26.1: CVE-2025-43510 und CVE-2025-43520 (Kernel) gepatcht
• Dezember 2025 – iOS 18.7.3 / iOS 26.2: CVE-2025-43529 (JavaScriptCore) und CVE-2025-14174 (ANGLE) gepatcht
• Februar 2026 – iOS 26.3: CVE-2026-20700 (dyld PAC-Bypass) gepatcht – der letzte Zero-Day

Um vollständig geschützt zu sein, muss iOS 26.3 oder neuer installiert sein. Apple empfiehlt zusätzlich die Aktivierung des Lockdown-Modus für Personen, die sich als potenzielle Ziele gezielter Angriffe sehen.

Was Sie jetzt tun sollten

• iOS sofort aktualisieren: Prüfen Sie unter Einstellungen → Allgemein → Softwareupdate, ob Ihr Gerät auf dem neuesten Stand ist. iOS 26.3 oder neuer schliesst alle DarkSword-Schwachstellen.
• Lockdown-Modus aktivieren: Für Personen in exponierten Positionen (Unternehmensleitung, Politik, Journalismus) bietet der Lockdown-Modus unter Einstellungen → Datenschutz & Sicherheit zusätzlichen Schutz.
• Alte Geräte prüfen: iPhones, die kein iOS 26 mehr erhalten, sollten mindestens auf iOS 18.7.3 aktualisiert werden. Apple hat im März 2026 auch Backports für iOS 15 und 16 veröffentlicht.
• Unternehmensgeräte im Blick behalten: Besonders in Unternehmen mit BYOD-Richtlinien (Bring Your Own Device) sollte geprüft werden, ob Mitarbeitende veraltete iOS-Versionen nutzen.

Wie Zerberos unterstützt

Mobile Geräte sind oft der blinde Fleck in der Sicherheitsstrategie. Wir helfen Unternehmen, diesen Bereich systematisch abzudecken:

• Risk Assessment: Wir analysieren Ihre gesamte Angriffsfläche – inklusive mobiler Geräte, BYOD-Richtlinien und Konfigurationsstandards.
• Social Engineering Tests: DarkSword wird über kompromittierte Websites verteilt. Wir testen, ob Ihre Mitarbeitenden auf solche Angriffe hereinfallen.
• Security Roadmap: Strukturierte Planung, die auch Mobile Device Management und Patch-Strategien für Unternehmensgeräte umfasst.

Die Sicherheit Ihres Unternehmens endet nicht am Büro-Laptop. Kontaktieren Sie uns für eine Standortbestimmung Ihrer mobilen Sicherheit.

Quellen und weiterführende Links

• Google Threat Intelligence – The Proliferation of DarkSword
• iVerify – Inside DarkSword: A New iOS Exploit Kit
• Lookout – Attackers Wielding DarkSword Threaten iOS Users
• Apple – Security Content of iOS 26.3
• The Hacker News – DarkSword iOS Exploit Kit Uses 6 Flaws
• TechCrunch – DarkSword Exploit Kit Leaked on GitHub
• BleepingComputer – CISA Orders Feds to Patch DarkSword Flaws