Apple предприняла нетипичный шаг и расширила доступность обновления безопасности iOS 18.7.7 и iPadOS 18.7.7 для значительно большего числа устройств. Причина — обнаружение мощного эксплойт-кита DarkSword, который используется в целевых кибератаках и позволяет незаметно взламывать iPhone и iPad через обычный веб-серфинг.
Что произошло: расширение обновления iOS 18.7.7 из-за DarkSword
1 апреля 2026 года Apple включила в список поддерживаемых устройств дополнительные модели, способные обновляться до iOS 26, но остающиеся на более ранних версиях iOS 18. Как пояснила компания, пользователи с включёнными Automatic Updates автоматически получат «важные средства защиты от веб-атак, связанных с DarkSword».
Изначально релиз iOS 18.7.7 и iPadOS 18.7.7 состоялся 24 марта 2026 года и был доступен только для ограниченного набора устройств: iPhone XS, iPhone XS Max, iPhone XR и iPad 7‑го поколения. Теперь охват значительно расширен и затрагивает устройства, которые формально могут перейти на iOS 26, но всё ещё работают на ветке iOS 18.
Apple подчёркивает, что патчи, закрывающие уязвимости, эксплуатируемые DarkSword, впервые были выпущены ещё в 2025 году, однако именно сейчас принято решение максимально упростить установку исправлений для тех, кто по разным причинам не обновился до последней основной версии ОС.
Эксплойт-кит DarkSword: как он атакует iPhone и iPad
По данным Google Threat Intelligence Group (GTIG), iVerify и Lookout, DarkSword применяется в атаках как минимум с июля 2025 года против пользователей в Саудовской Аравии, Турции, Малайзии и Украине. Набор эксплойтов ориентирован на версии iOS и iPadOS от 18.4 до 18.7, что делает его особенно опасным для устройств, которые не получают регулярных обновлений.
Техника атаки основана на так называемых watering hole-кампаниях. Злоумышленники взламывают легитимный, хорошо посещаемый сайт и незаметно внедряют на него вредоносный код. Достаточно, чтобы пользователь с уязвимым устройством просто перешёл на такой ресурс — и эксплойт-кит автоматически запускает цепочку атак, не требуя дополнительных действий жертвы.
Исследователи сообщают, что после успешной эксплуатации уязвимостей DarkSword загружает на устройство бекдор и модуль-сборщик данных, обеспечивая устойчивый доступ и систематический кражу информации. Отмечается, что более новая версия набора утечкой попала на GitHub, что вызывает опасения: теперь им могут воспользоваться и менее квалифицированные группы.
Ответ Apple и нетипичная стратегия патчей
Apple традиционно бэкпортирует исправления для старых устройств, если уязвимость критична. Однако нынешняя ситуация выделяется тем, что пользователям iOS 18 предоставили возможность закрыть уязвимости, не переходя на последнюю основную версию ОС.
Пользователям без автообновления предоставлен выбор: установить последнюю пропатченную версию iOS 18 (18.7.7) или выполнить апгрейд до iOS 26. Это скорее исключение из обычной политики Apple, которая обычно стимулирует обновление до актуальной мажорной версии, совмещая функциональные и защитные улучшения.
Месяцем ранее компания также призвала владельцев старых устройств перейти на iOS 15.8.7, iPadOS 15.8.7, iOS 16.7.15 и iPadOS 16.7.15. Эти релизы закрывали часть уязвимостей, задействованных не только в DarkSword, но и в другом эксплойт-ките под названием Coruna. Дополнительно Apple начала рассылать Lock Screen‑уведомления на устройства с устаревшими версиями iOS и iPadOS, предупреждая о веб-атаках и предлагая установить обновления.
Роль кибершпионских групп и риск для организаций
По информации Proofpoint и Malfors, эксплойт-кит DarkSword уже используется российской группой COLDRIVER (TA446). В рамках её кампаний через этот набор доставляется вредоносное ПО GHOSTBLADE для кражи данных у правительственных структур, аналитических центров, вузов, финансовых и юридических организаций.
Как отмечает сооснователь iVerify Рокки Коул, DarkSword способен «тихо забирать огромные объёмы пользовательских данных только потому, что человек посетил реальный, но скомпрометированный сайт». По оценке экспертов, примерно пятая часть пользователей продолжает работать на более старых версиях iOS, оставаясь без критических исправлений. В такой ситуации, учитывая рост рынка 0‑day‑уязвимостей и эксплойтов, простое «догоняющее» патч‑менеджмент решение проблемы уже не обеспечивает.
Что делать пользователям и бизнесу
Для рядовых пользователей ключевой шаг — немедленно установить обновление iOS 18.7.7 или iPadOS 18.7.7, если устройство пока не перешло на iOS 26. Рекомендуется включить автоматические обновления, использовать только официальные магазины приложений и регулярно перезагружать устройство, чтобы сбрасывать возможные временные сессии злоумышленников.
Организациям следует усилить мобильную безопасность: внедрить MDM‑решения для централизованного контроля обновлений, ограничить доступ к корпоративным ресурсам с устройств без свежих патчей, мониторить сетевой трафик на признаки watering hole‑атак и проводить обучение сотрудников по безопасному использованию мобильных устройств.
Ситуация с DarkSword наглядно показывает, что даже экосистема, ориентированная на безопасность, как у Apple, не застрахована от мощных эксплойт-китов и коммерческого рынка 0‑day‑уязвимостей. Проверка версии iOS на своём устройстве и установка всех доступных обновлений — минимальный, но крайне важный шаг. Пользователям и компаниям стоит относиться к мобильным обновлениям так же серьёзно, как к патчам для рабочих станций и серверов: от скорости реакции зависит, станут ли устройства частью статистики успешных кибератак или останутся защищёнными.
