Um patch retroativo foi disponibilizado em 1º de abril, logo após a divulgação de um código que expôs uma vulnerabilidade, deixando os usuários corporativos sem defesa.
A Apple lançou correções para a cadeia de exploração DarkSword, abrangendo todos os usuários do iOS 18 em 1º de abril. A implementação dessas correções pôs fim a um período de vulnerabilidade que afetou um grande número de iPhones. O código foi revelado em 19 de março, tendo sido corrigido anteriormente, mas uma atualização do iOS aumentou o risco para mais usuários.
A companhia havia solucionado inicialmente a questão do DarkSword no iOS 26, sua versão mais atual, e depois em 24 de março, em dispositivos mais antigos que não poderiam atualizar para o iOS 26. Ficaram desprotegidos os usuários de iPhones que poderiam rodar o iOS 26, mas optaram ou foram forçados a continuar utilizando o iOS 18.
Vazamento no GitHub pressionou a Apple
O DarkSword foi disponibilizado no GitHub na semana do dia 19 de março, conforme reportado pela TecMania. Esse código tornava acessível uma ferramenta de ataque sofisticada para qualquer agente malicioso que estivesse disposto a utilizá-la. A Apple respondeu rapidamente com um patch retroativo.
Justin Albrecht, pesquisador sênior da empresa de segurança Lookout, observa que essa ação reflete um padrão de resposta incomum. Ele destaca que a Apple tomou medidas sem precedentes para lidar tanto com o DarkSword quanto com o Coruna, outra vulnerabilidade revelada no mesmo momento.
O kit Coruna incluía notificações direcionadas para dispositivos vulneráveis e orientações sobre ameaças da web.
“Ele conseguia realizar comando e controle via SMS; com apenas uma pequena modificação, poderia extrair contatos e enviar mensagens em massa com links, transformando-se em um malware com capacidade de propagação”, explica Cole. Evidências indicam que o Coruna foi originalmente desenvolvido por uma empresa contratada pelas Forças Armadas dos EUA.
DarkSword é mais difícil de detectar do que parece
O DarkSword foi apresentado ao público duas semanas após o Coruna e é visto como um pano de fundo nessa narrativa. Contudo, Cole discorda dessa interpretação.
“Na verdade, é mais insidioso, porque não requer root no dispositivo”, diz ele. “O Coruna faz o root. Assim, se um sistema de detecção de root fosse implementado, seria possível identificar o Coruna. Mas o DarkSword não precisa de root; ele simplesmente herda os privilégios dos processos, atingindo o escalonamento de privilégios que permite o acesso a processos sensíveis.”
Sem a necessidade de uma assinatura de root, as ferramentas de detecção tradicionais têm menos chances de identificar uma infecção. A base de usuários do iOS 18, muito maior que a do iOS 17, e a exposição do código no GitHub durante a janela sem patches criaram, nas palavras de Cole, uma crise.
A Lookout já registrou atividades maliciosas envolvendo o malware. Albrecht menciona uma campanha de phishing por e-mail conduzida pelo grupo TA446, que se disfarçou de think tank Atlantic Council para espalhar o DarkSword. Outras campanhas documentadas não puderam ser atribuídas a grupos específicos, mas houve vários testes do malware para motivos desconhecidos.
Política de atualização corporativa gera brecha estrutural
A vulnerabilidade não afetou apenas usuários individuais relutantes em atualizar seus dispositivos. Muitas empresas seguem uma política chamada “n-menos-um”, que mantém os dispositivos sempre uma versão atrás no ciclo de patches. Essa estratégia de gerenciamento de risco, neste contexto, torna-se um risco em si mesmo.
Cole questiona a eficácia desse modelo. “Se você é um usuário corporativo e seu departamento de TI afirmar que você precisa seguir essa cadência de n-menos-um, como se proteger se as correções não são retroportadas para todas as versões? Isso desafia a ideia de que uma estratégia baseada apenas em correções será suficiente no futuro.”
Com ambos os exploits agora corrigidos, Cole alerta sobre o que pode vir a seguir. “O que o DarkSword e o Coruna demonstram é que o mercado de kits de exploração de vulnerabilidades n-day para iOS está crescendo rapidamente. Os preços caíram rapidamente, e embora ambos já tenham sido totalmente corrigidos, questiona-se quantos outros kits desse tipo ainda existem por aí.”
Siga a TecMania nas redes sociais. Para mais notícias sobre segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.