Onderzoekers ontdekken iOS-exploit gebruikt om iPhones te infecteren

In dit artikel:

Onderzoekers van Google, Lookout en iVerify ontdekten een iOS-exploit genaamd DarkSword die sinds eind vorig jaar is ingezet om iPhones via malafide of gehackte websites te besmetten. De exploit benut zes kwetsbaarheden (waaronder drie die destijds nog niet gepatcht waren: CVE-2026-20700, CVE-2025-43529 en CVE-2025-14174) in onder andere Safari en de iOS-kernel en werkt op iOS-versies 18.4 tot en met 18.7. Met slechts het bezoeken van een geïnfecteerde pagina is een toestel al genoeg om gekraakt te worden.

Aanvallen zijn waargenomen in Saoedi-Arabië, Turkije, Maleisië en Oekraïne; daarbij gebruikten aanvallers onder meer een valse Snapchat-achtige site en iframe-injecties op gehackte Oekraïense websites. Afhankelijk van de actor — commerciële spywareleveranciers en door staten gesteunde groepen zijn betrokken — wordt na succesvolle exploit de malware Ghostblade uitgezet. Die software roeit zeer breed gegevens uit: berichten, contacten, locatiegeschiedenis, foto’s, e-mails, iCloud-bestanden, systeem- en sim‑informatie en zelfs opgeslagen wachtwoorden. Opvallend is de expliciete jacht op crypto-gerelateerde data: exchanges (Coinbase, Binance, Kraken e.a.) en wallet‑apps (Ledger, Trezor, MetaMask, Exodus, Gnosis Safe, enz.) worden specifiek gezocht.

Ghostblade is niet gericht op langdurige spionage: nadat de gegevens zijn geplunderd verwijdert de malware zichzelf. Onderzoekers adviseren onmiddellijk updaten naar iOS 18.7.3 / 26.3 of nieuwer en Lockdown Mode in te schakelen; iVerify schat dat meer dan 220 miljoen iPhones nog kwetsbaar kunnen zijn.