Deze nieuwe hack kan miljoenen iPhones kraken en je merkt er niets van

Beveiligingsonderzoekers hebben een hacktool ontdekt die iPhones kan overnemen zonder dat de gebruiker ook maar iets hoeft te doen. De tool, die de naam DarkSword draagt, kan in enkele minuten vrijwel al je persoonlijke gegevens stelen. Dat meldt beveiligingsbedrijf Lookout, dat de dreiging samen met Google en iVerify heeft onderzocht.

Dit is hoe het werkt. Aanvallers hacken eerst een bestaande en betrouwbare website. In het onderzochte geval ging het onder meer over een Oekraïense overheidssite en een nieuwssite. In de code van die site verstoppen ze een onzichtbaar stukje code. Bezoek je zo'n website met je iPhone via Safari, dan checkt de verborgen code welke iOS-versie je draait. Zit je op iOS 18.4 tot en met 18.6.2, dan wordt je telefoon zonder verdere waarschuwing aangevallen. Er is geen klik of download nodig.

Eenmaal binnen wurmt DarkSword zich razendsnel door de beveiligingslagen van je iPhone heen, zo zegt Lookout. De tool breekt achtereenvolgens uit de Safari-browser, nestelt zich in systeemprocessen en krijgt uiteindelijk toegang tot het diepste niveau van het besturingssysteem. 

Vanaf dat punt ligt alles open: je wachtwoorden, foto's, e-mails, sms'jes, WhatsApp- en Telegram-berichten, je locatiegeschiedenis, gezondheidsdata, notities en zelfs je opgeslagen wifi-wachtwoorden. De tool richt zich daarnaast specifiek op cryptowallets zoals Coinbase, MetaMask, Ledger en Binance.

Aanval is snel uitgevoerd

DarkSword is vooral snel. De tool graait alle data bij elkaar, stuurt het naar een server en wist vervolgens zijn eigen sporen op het toestel. Het hele proces duurt van start tot einde hooguit een paar minuten. Daarna is er nauwelijks meer een spoor van de inbraak te vinden.

Dit soort aanvallen werd tot voor kort alleen geassocieerd met geheime diensten en peperdure spionagesoftware zoals Pegasus. Dat een (vermoedelijk Russische) groep met wellicht beperktere technische kennis toegang heeft tot zulke wapens, is op z’n minst verontrustend te noemen. Wie zijn iPhone netjes heeft bijgewerkt naar iOS 18.7.3 of nieuwer hoeft zich gelukkig geen zorgen te maken: die versies zijn niet kwetsbaar. 

DarkSword is niet de eerste geavanceerde hacktool die bij deze vermoedelijk Russische groep wordt aangetroffen. Eerder dit jaar bleek dezelfde groep ook de Coruna-hacksoftware te gebruiken, die volgens onderzoek van iVerify waarschijnlijk afkomstig is van het Amerikaanse defensiebedrijf L3Harris en via een omweg in verkeerde handen terechtkwam.