Giới nghiên cứu bảo mật quốc tế vừa lên tiếng cảnh báo về một công cụ tấn công mới mang tên DarkSword, được thiết kế để nhắm vào các iPhone đang chạy iOS từ phiên bản 18.4 đến 18.6.2 — ước tính khoảng 270 triệu thiết bị trên toàn cầu hiện vẫn nằm trong vùng nguy hiểm do chưa nâng cấp lên hệ điều hành mới hơn.
Phát hiện này là thành quả từ sự phối hợp điều tra giữa Nhóm Phân tích Đe dọa của Google cùng hai công ty an ninh mạng chuyên sâu là Lookout và iVerify. Báo cáo được Wired đăng tải và sau đó được The Verge xác nhận qua phản hồi từ phía Apple.
Điều làm DarkSword trở nên nguy hiểm hơn các mã độc thông thường nằm ở phương thức xâm nhập không cần tương tác trực tiếp từ người dùng. Khi thiết bị mục tiêu truy cập vào một trang web đã bị tin tặc cài cắm bẫy, mã độc lập tức khai thác đồng thời sáu lỗ hổng bảo mật tồn tại trong trình duyệt Safari. Toàn bộ quá trình diễn ra âm thầm, không để lại bất kỳ dấu hiệu bất thường nào trên giao diện người dùng.
Phạm vi dữ liệu mà DarkSword có thể thu thập trải rộng từ tin nhắn văn bản, danh bạ, mật khẩu đã lưu trong thiết bị, các tệp tin được đồng bộ trên iCloud, cho đến ảnh cá nhân, nhật ký cuộc gọi, lịch sử định vị và thậm chí cả ví tiền điện tử. Đây là kiểu tấn công đánh thẳng vào những thông tin có giá trị nhất mà một người dùng smartphone lưu giữ.
Điều khiến các nhà nghiên cứu đặc biệt lo ngại là chiến thuật vận hành của công cụ này. Theo phân tích từ Lookout, DarkSword hoạt động theo kiểu “đánh và rút” — trích xuất dữ liệu mục tiêu một cách chớp nhoáng rồi xóa sạch dấu vết ngay sau đó, tất cả trong một khoảng thời gian quá ngắn để các hệ thống phát hiện mối đe dọa truyền thống kịp phản ứng. Bên cạnh đó, các chuyên gia từ iVerify chỉ ra rằng mã nguồn của DarkSword không hề được mã hóa hay làm rối, đồng nghĩa với việc bất kỳ nhóm tội phạm mạng nào cũng có thể dễ dàng sao chép và triển khai biến thể riêng từ nền tảng này.
Về phía Apple, Google đã chủ động thông báo cho hãng về các lỗ hổng liên quan từ cuối năm 2025. Người phát ngôn Apple là Sarah O’Rourke xác nhận với The Verge rằng các lỗ hổng cốt lõi đã được vá trong các bản cập nhật iOS trước đó, đồng thời một bản vá khẩn cấp bổ sung cũng vừa được phát hành vào tuần trước, hướng đặc biệt đến những dòng thiết bị cũ không đủ điều kiện nâng cấp lên các phiên bản iOS thế hệ mới nhất.
Có một nhóm người dùng được khẳng định hoàn toàn miễn nhiễm trước đợt tấn công này: những ai đã bật tính năng Lockdown Mode trên iPhone của mình. Ngoài ra, các đường dẫn độc hại liên quan đến chiến dịch DarkSword cũng đã bị chặn đồng loạt trên cả Safari lẫn Chrome sau khi Apple và Google cùng vào cuộc xử lý.
Bà Sarah O’Rourke nhấn mạnh rằng duy trì thói quen cập nhật phần mềm thường xuyên là biện pháp bảo vệ thiết thực nhất mà người dùng có thể chủ động thực hiện, bởi mỗi bản cập nhật iOS đều tích hợp các lớp vá lỗi và cơ chế phòng thủ mới nhất từ Apple.
