Rò rỉ lỗ hổng zero-day DarkSword: Nguy hiểm khẩn cấp cho iOS cũ

Bộ công cụ khai thác iOS mạnh mẽ mang tên DarkSword, một chuỗi khai thác lỗ hổng zero-day, đã bị rò rỉ công khai trên GitHub. Sự cố này làm giảm đáng kể rào cản cho các tác nhân đe dọa trong việc nhắm mục tiêu vào hàng trăm triệu iPhone và iPad vẫn đang chạy phần mềm cũ.

Các nhà nghiên cứu bảo mật đang gióng lên hồi chuông cảnh báo, vì việc rò rỉ này biến một công cụ tấn công tinh vi, từng được liên kết với các tổ chức cấp nhà nước, thành một bộ công cụ khai thác dễ tiếp cận cho hầu hết mọi tác nhân đe dọa.

DarkSword: Chuỗi Khai Thác iOS Zero-day

DarkSword là một chuỗi khai thác iOS hoàn chỉnh được viết bằng JavaScript. Nó được xác định lần đầu tiên vào tháng 3 năm 2026 bởi Google’s Threat Intelligence Group (GTIG), cùng với các công ty an ninh mạng iVerify và Lookout.

Bộ công cụ này kết hợp sáu lỗ hổng zero-day riêng biệt để đạt được sự thỏa hiệp hoàn toàn, với đặc quyền cao nhất trên iPhone mục tiêu, tất cả chỉ thông qua một lần truy cập trình duyệt vào một trang web độc hại.

Cơ Chế Khai Thác và Quyền Truy Cập

Chuỗi tấn công bắt đầu khi trình duyệt Safari tải một iframe độc hại được nhúng trong một trang web bị xâm nhập. Từ đó, DarkSword thoát khỏi sandbox của WebContent.

Tiếp theo, nó tận dụng WebGPU để chèn mã vào tiến trình mediaplaybackd, và cuối cùng đạt được quyền truy cập đọc/ghi kernel hoàn chỉnh. Quyền truy cập cấp kernel này cho phép kẻ tấn công sửa đổi các hạn chế sandbox và tiếp cận các khu vực bị hạn chế của hệ thống tệp iOS mà không yêu cầu truy cập vật lý vào thiết bị.

Chi Tiết Lỗ Hổng CVE-2025-43529

Trong số các lỗ hổng bị khai thác có CVE-2025-43529, một lỗi thu gom rác (garbage collection bug) trong lớp JIT của Data Flow Graph (DFG) của JavaScriptCore. Apple đã vá lỗi này trong iOS 18.7.3 và iOS 26.2 sau khi GTIG công bố.

Đây là một CVE nghiêm trọng, cho phép kẻ tấn công thực hiện các hành động trái phép, minh chứng cho sự nguy hiểm của các lỗ hổng trong môi trường thực thi mã của trình duyệt.

Mối Đe Dọa và Phạm Vi Tác Động

DarkSword ban đầu được triển khai trong các chiến dịch gián điệp có mục tiêu bởi một nhóm đe dọa được theo dõi là UNC6353. Bộ công cụ này được xây dựng để trích xuất dữ liệu nhanh chóng và bí mật, bao gồm mật khẩu, ảnh, tin nhắn WhatsApp và Telegram, chuỗi tin nhắn iMessage, lịch sử duyệt web, và thậm chí cả thông tin đăng nhập ví tiền điện tử, sau đó biến mất không để lại dấu vết.

Các nhà nghiên cứu của Lookout lưu ý rằng thời gian hoạt động của DarkSword trên một thiết bị bị xâm nhập có thể được đo bằng phút, biến nó thành một hoạt động gián điệp kiểu “đột kích và cướp” (smash-and-grab).

Số Lượng Thiết Bị Bị Ảnh Hưởng

Theo dữ liệu sử dụng của Apple, khoảng một phần tư tổng số iPhone và iPad đang hoạt động vẫn đang chạy iOS 18 hoặc các phiên bản cũ hơn. Điều này tiềm ẩn hàng trăm triệu thiết bị dễ bị tấn công trên toàn cầu bởi các lỗ hổng zero-day.

DarkSword đặc biệt nhắm mục tiêu vào các phiên bản iOS từ 18.4 đến 18.7, tất cả đều chưa được vá hoàn chỉnh chống lại chuỗi khai thác trừ khi được nâng cấp lên iOS 26. Sự phổ biến của các phiên bản cũ tạo ra một bề mặt tấn công rộng lớn cho bất kỳ cuộc tấn công mạng nào sử dụng công cụ này.

Sự Rò Rỉ và Khả Năng Khai Thác Dễ Dàng

Một công cụ tấn công cấp quốc gia trước đây nay đã được cung cấp miễn phí trực tuyến. Một phiên bản mới hơn của bộ công cụ DarkSword, được cho là bao gồm các tệp HTML và JavaScript tương đối cơ bản, đã được xuất bản lên GitHub.

Các nhà nghiên cứu cảnh báo rằng nó có thể được triển khai trên một máy chủ độc hại chỉ trong vài phút. Điều này biến các lỗ hổng zero-day phức tạp thành mối đe dọa phổ biến hơn.

Chuyên gia bảo mật Matteyeux đã xác nhận mối đe dọa là có thật và ngay lập tức. Họ đã đăng trên X rằng họ đã sử dụng thành công mẫu DarkSword bị rò rỉ để thỏa hiệp một chiếc iPad mini thế hệ thứ 6 chạy iPadOS 18.6.2, chứng minh rằng khai thác này hoạt động mà không cần chuyên môn kỹ thuật cao cấp.

Got kernel R/W on an iPad mini 6th gen running iOS 18.6.2 using the in the wild exploit chain darksword pic.twitter.com/zT2mc8TvbM

Đoạn tweet này, kèm theo hình ảnh, là một bằng chứng rõ ràng về khả năng khai thác của DarkSword và mức độ dễ dàng tiếp cận của nó sau khi bị rò rỉ.

Biện Pháp Phòng Ngừa và Bản Vá Bảo Mật

Apple đã thừa nhận lỗ hổng và phát hành một bản vá bảo mật khẩn cấp vào ngày 11 tháng 3 cho các thiết bị không thể nâng cấp lên iOS 26. Apple cũng xác nhận rằng các thiết bị có Chế độ phong tỏa (Lockdown Mode) được bảo vệ khỏi các cuộc tấn công DarkSword, ngay cả trên phần mềm cũ.

Các chuyên gia bảo mật khuyên tất cả người dùng iPhone và iPad nên cập nhật ngay lập tức lên iOS 26 hoặc áp dụng bản vá khẩn cấp có sẵn. Người dùng không thể nâng cấp nên bật Chế độ phong tỏa (Lockdown Mode) như một biện pháp giảm thiểu tức thời chống lại chuỗi khai thác đã bị công khai và vũ khí hóa này.

Các Bước Bảo Vệ Khuyến Nghị:

• Cập nhật hệ điều hành: Nâng cấp lên iOS 26 hoặc phiên bản mới nhất có thể để nhận được bản vá bảo mật mới nhất.
• Áp dụng bản vá khẩn cấp: Nếu không thể nâng cấp lên iOS 26, hãy đảm bảo rằng tất cả các bản vá khẩn cấp đã được cài đặt.
• Kích hoạt Lockdown Mode: Đối với các thiết bị chạy phần mềm cũ hơn, kích hoạt Chế độ phong tỏa cung cấp một lớp bảo vệ bổ sung chống lại các lỗ hổng zero-day như DarkSword.
• Tránh các liên kết và trang web đáng ngờ: Luôn cảnh giác với các liên kết và trang web không rõ nguồn gốc để giảm thiểu nguy cơ phơi nhiễm.

Việc theo dõi và áp dụng các bản vá bảo mật thường xuyên là rất quan trọng để duy trì an toàn thông tin cho thiết bị di động, đặc biệt khi các công cụ khai thác nguy hiểm như DarkSword trở nên phổ biến.