Apple geht einen fuer das Unternehmen ungewoehnlichen Schritt und stellt das Sicherheitsupdate iOS 18.7.7 und iPadOS 18.7.7 fuer deutlich mehr Geraete bereit als zunaechst geplant. Ausgeloest wird die Massnahme durch das Exploit-Kit DarkSword, das iPhones und iPads allein ueber den Besuch kompromittierter Webseiten unbemerkt angreifen kann.
Apple reagiert auf DarkSword: iOS 18.7.7 fuer deutlich mehr Geraete
Am 1. April 2026 hat Apple den Kreis der Geraete erweitert, die das Update auf iOS 18.7.7 und iPadOS 18.7.7 erhalten. Betroffen sind Modelle, die zwar formal auf iOS 26 upgraden koennen, aber noch eine aeltere Version von iOS 18 einsetzen. Nutzer mit aktivierten Automatic Updates erhalten die neuen Schutzmechanismen gegen webbasierte DarkSword-Angriffe automatisch.
Urspruenglich wurde iOS 18.7.7 am 24. Maerz 2026 nur fuer iPhone XS, iPhone XS Max, iPhone XR sowie das iPad der 7. Generation veroeffentlicht. Nun weitet Apple die Verfuegbarkeit erheblich aus. Bemerkenswert ist, dass die Sicherheits-Patches technisch bereits seit 2025 existieren, Apple sie nun jedoch gezielt auch fuer Nutzer anbietet, die noch nicht auf die aktuelle Hauptversion iOS 26 gewechselt sind.
DarkSword-Exploit-Kit: gezielte Angriffe ueber watering-hole-Kampagnen
Nach Analysen der Google Threat Intelligence Group (GTIG), von iVerify und Lookout wird DarkSword seit mindestens Juli 2025 in zielgerichteten Kampagnen gegen Nutzer in Saudi-Arabien, der Tuerkei, Malaysia und der Ukraine eingesetzt. Das Exploit-Kit zielt auf iOS- und iPadOS-Versionen 18.4 bis 18.7 und trifft damit insbesondere Geraete, die Sicherheitsupdates verzoegert oder gar nicht erhalten.
Die Angriffe folgen dem Muster sogenannter watering-hole-Attacken. Dabei kompromittieren Angreifer seriöse, stark frequentierte Webseiten und schleusen dort Schadcode ein. Betritt ein Nutzer mit einem verwundbaren iPhone oder iPad eine solche Seite, startet der Exploit vollautomatisch – zusaetzliche Klicks oder Installationsbestaetigungen sind nicht notwendig. In der Praxis entspricht dies einem Drive-by-Exploit, bei dem bereits der Seitenaufruf zur Infektion ausreicht.
Von der Schwachstelle zum dauerhaften Zugriff auf das Geraet
Gelingt die Ausnutzung der Schwachstellen, laedt DarkSword auf das Geraet einen Backdoor-Trojaner und ein Modul zur Datensammlung nach. Dadurch erhalten Angreifer einen dauerhaften, verdeckten Zugriff und koennen systematisch Kontakte, Kommunikationsinhalte, Standortdaten und weitere sensible Informationen exfiltrieren. Sicherheitsforscher weisen zudem darauf hin, dass eine neuere DarkSword-Version auf GitHub geleakt ist. Das senkt die Eintrittsbarriere, sodass kuenftig auch weniger professionelle Gruppen auf ein vormals hochspezialisiertes Exploit-Kit zurueckgreifen koennen.
Ungewoehnliche Patch-Strategie: Sicherheit ohne Zwangs-Upgrade auf iOS 26
Apple ist dafuer bekannt, Sicherheitsfixes vor allem in aktuelle Hauptversionen der Betriebssysteme zu integrieren und Nutzer so implizit zum Upgrade zu bewegen. Zwar werden kritische Luecken auch fuer aeltere Geraete geschlossen, doch der Umfang ist in der Regel begrenzt. Im Fall von DarkSword ermoeglicht Apple nun bewusst, auf der iOS-18-Linie zu bleiben und trotzdem den vollen Patch-Stand mit Version 18.7.7 zu erhalten.
Nutzer ohne Auto-Update koennen sich entscheiden, entweder iOS 18.7.7 / iPadOS 18.7.7 zu installieren oder direkt auf iOS 26 umzusteigen. Bereits einen Monat zuvor hatte Apple Besitzer aelterer Geraete dringend aufgefordert, auf iOS 15.8.7, iPadOS 15.8.7, iOS 16.7.15 und iPadOS 16.7.15 zu wechseln. Diese Versionen schliessen ebenfalls Luecken, die von DarkSword und einem zweiten Exploit-Kit namens Coruna ausgenutzt werden. Zusaetzlich setzt Apple auf Lock-Screen-Benachrichtigungen, um Nutzer veralteter Versionen direkt vor webbasierten Angriffen zu warnen.
DarkSword, COLDRIVER und das Risiko fuer Institutionen
Nach Erkenntnissen von Proofpoint und Malfors wird DarkSword bereits aktiv von der mutmasslich russischen Gruppe COLDRIVER (TA446) eingesetzt. Ueber das Exploit-Kit verteilen die Angreifer die Spionage-Malware GHOSTBLADE, deren Ziel klar auf Informationsdiebstahl ausgerichtet ist. Im Fokus stehen vor allem Regierungsstellen, Think-Tanks, Hochschulen sowie Unternehmen aus dem Finanz- und Rechtssektor.
Nach Einschaetzung von Sicherheitsexperten kann DarkSword „leise enorme Mengen personenbezogener Daten abziehen, nur weil ein Nutzer eine reale, aber kompromittierte Website besucht“. Besonders kritisch: Schaetzungen zufolge verbleibt etwa ein Fuenftel der Anwender laenger auf veralteten iOS-Versionen und verpasst damit zentrale Sicherheitsupdates. Angesichts eines wachsenden Marktes fuer Zero-Day-Schwachstellen reicht ein rein reaktives Patch-Management fuer mobile Endgeraete zunehmend nicht mehr aus.
Konkrete Sicherheitsmassnahmen fuer iPhone- und iPad-Nutzer
Privatanwender sollten umgehend pruefen, welche iOS-Version auf ihrem Geraet installiert ist. Dies erfolgt unter Einstellungen > Allgemein > Softwareupdate. Ist dort iOS 18.7.7 / iPadOS 18.7.7 oder iOS 26 verfuegbar, sollte das Update ohne Verzoegerung eingespielt werden. Sinnvoll ist zudem, automatische Updates dauerhaft zu aktivieren, ausschliesslich Apps aus dem offiziellen App Store zu beziehen und das Geraet regelmaessig neu zu starten, um eventuelle fluechtige Schadprozesse zu beenden.
Mobile Security in Unternehmen: Richtlinien und Technik nachschaerfen
Organisationen sollten die DarkSword-Kampagne zum Anlass nehmen, ihre Mobile-Security-Strategie zu ueberpruefen. Zentral ist der Einsatz von MDM- oder EMM-Loesungen, um Betriebssystem-Versionen und Sicherheitsupdates auf allen Firmen-Geraeten einheitlich zu steuern. Zugriffe auf kritische Unternehmensressourcen sollten an klare Compliance-Regeln gekoppelt werden: Kein Zugang ohne aktuelles Patch-Level.
Darueber hinaus empfiehlt sich ein Monitoring des Netzwerkverkehrs, um Indikatoren fuer watering-hole-Angriffe zu erkennen, etwa ungewoehnliche Verbindungen zu bislang unbekannten Domains oder auffaellige TLS-Muster. Security-Awareness-Trainings sollten mobile Bedrohungen explizit adressieren, da Smartphones und Tablets haeufig ausserhalb des Firmenperimeters eingesetzt werden und damit ein attraktives Angriffsziel darstellen.
Die aktuelle DarkSword-Welle macht deutlich, dass auch die vergleichsweise geschlossene Apple-Oekosystem nicht vor professionellen Exploit-Kits und dem Handel mit Zero-Day-Luecken gefeit ist. Wer seine Risiken reduzieren moechte, sollte zeitnahe Updates als unverzichtbare Grundhygiene betrachten, mobile Endgeraete konsequent in das bestehende Patch- und Vulnerability-Management integrieren und Nutzer regelmaessig fuer die Gefahren kompromittierter Webseiten sensibilisieren. Ein kurzer Blick in die iOS-Einstellungen und ein konsequenter Update-Prozess entscheiden letztlich darueber, ob ein Geraet Teil einer erfolgreichen Spionagekampagne wird – oder geschuetzt bleibt.
