Một chuỗi khai thác mang tên DarkSword đang khiến giới an ninh mạng quốc tế đặc biệt lo ngại khi cho thấy một bước chuyển đáng kể trong cách thức tấn công vào hệ sinh thái iOS. 

Không còn là công cụ gián điệp dành riêng cho các chiến dịch cấp nhà nước, DarkSword cho thấy exploit iOS đã bắt đầu bị "phổ cập hóa" và sử dụng ở quy mô rộng, nhắm tới cả người dùng phổ thông.

Các phân tích từ Nhóm Tình báo Mối đe dọa Google (GTIG), iVerify và Lookout cho thấy DarkSword vận hành như một full-chain exploit gồm nhiều lỗ hổng zero-day liên kết chặt chẽ.

Từ khai thác có chủ đích đến nguy cơ diện rộng trên hàng trăm triệu thiết bị

Theo các nhà nghiên cứu, bộ công cụ khai thác DarkSword sử dụng 6 lỗ hổng. Điểm khởi đầu là lỗi thực thi mã từ xa (RCE) trong JavaScriptCore - thành phần cốt lõi của WebKit trên iPhone. Từ đây, mã độc lần lượt vượt qua sandbox, leo thang đặc quyền và cuối cùng chiếm quyền kernel, tức cấp kiểm soát cao nhất của hệ thống.

DarkSword nhắm trực tiếp vào những chiếc iPhone chạy từ phiên bản iOS 18.4 đến iOS 18.6.2

Điểm đáng chú ý là toàn bộ quá trình này có thể diễn ra chỉ trong vài giây, đồng thời né tránh các cơ chế bảo vệ như PPL hay SPTM của Apple. Sau khi xâm nhập, mã độc hoạt động theo hướng "thu thập nhanh - xóa dấu vết", lấy dữ liệu nhạy cảm như tin nhắn, lịch sử cuộc gọi, vị trí và thông tin duyệt web rồi gửi về máy chủ điều khiển trước khi tự biến mất, khiến việc phát hiện gần như không khả thi đối với người dùng thông thường.

Các tổ chức An ninh mạng ước tính có khoảng 220 - 270 triệu iphone có nguy cơ bị tấn công, chủ yếu do đang sử dụng các phiên bản iOS đã cũ.

Một trong những điểm đáng lo ngại nhất của DarkSword là khả năng mở rộng quy mô tấn công. Theo ước tính từ các tổ chức an ninh mạng, có khoảng 220-270 triệu iPhone có thể nằm trong vùng rủi ro, chủ yếu do sử dụng các phiên bản iOS chưa được vá lỗi.

Cụ thể, công cụ này có thể xâm nhập vào các thiết bị chạy iOS từ phiên bản 18.4 đến 18.6.2 thông qua những kỹ thuật khai thác chưa từng được công bố rộng rãi. Khi người dùng truy cập vào các trang web đã bị chèn mã độc, quá trình tấn công có thể được kích hoạt ngay lập tức mà không cần bất kỳ thao tác cài đặt nào. Toàn bộ diễn biến diễn ra âm thầm, không hiển thị dấu hiệu rõ ràng, khiến người dùng gần như không có cơ hội nhận biết thiết bị đã bị xâm nhập. 

Người dùng cần làm gì?

Trước nguy cơ trên, Công an Thành phố Đồng Nai khuyến nghị người dùng cần nhanh chóng cập nhật hệ điều hành lên các phiên bản đã được vá lỗi. Apple đã phát hành các bản cập nhật như iOS 18.7 và các phiên bản iOS 26 mới hơn, trong đó iOS 26.3.1 được xác nhận đã khắc phục các lỗ hổng mà DarkSword khai thác. Việc chậm cập nhật đồng nghĩa với việc thiết bị tiếp tục nằm trong vùng rủi ro của các cuộc tấn công đã được "vũ khí hóa".

Người dùng cần nhanh chóng cập nhật hệ điều hành lên các phiên bản đã được vá lỗi (Ảnh minh hoạ)

Bên cạnh đó, người dùng cần hạn chế truy cập các đường link không rõ nguồn gốc, đặc biệt là link được gửi qua tin nhắn hoặc mạng xã hội, bởi đây là kênh phát tán phổ biến của các chiến dịch tấn công dạng web-based exploit. Việc jailbreak thiết bị cũng làm suy yếu đáng kể các lớp bảo vệ vốn có của iOS, tạo điều kiện cho mã độc hoạt động dễ dàng hơn. Song song với đó, sao lưu dữ liệu định kỳ vẫn là biện pháp quan trọng nhằm giảm thiểu thiệt hại nếu sự cố xảy ra.

Trong nhiều năm, iPhone luôn được xem là thiết bị có mức độ bảo mật cao nhờ hệ sinh thái kiểm soát chặt chẽ của Apple. Tuy nhiên, sự xuất hiện của các chuỗi khai thác như DarkSword cho thấy iOS đang dần trở thành mục tiêu hấp dẫn hơn đối với các nhóm tấn công chuyên nghiệp.

Thuý Hằng (tổng hợp)