Apple пішла на нетиповий крок і зробила оновлення безпеки iOS 18.7.7 та iPadOS 18.7.7 доступним для значно ширшого кола пристроїв. Причина — виявлення потужного експлойт-кита DarkSword, який використовується в цільових кібератаках і дозволяє зламувати iPhone та iPad лише через відвідування скомпрометованих вебсайтів.
Чому Apple розширила оновлення безпеки iOS 18.7.7
1 квітня 2026 року Apple додала до списку сумісних пристроїв додаткові моделі, що технічно підтримують перехід на iOS 26, але все ще працюють на гілці iOS 18. Користувачі з увімкненими Automatic Updates автоматично отримають «важливі засоби захисту від веб-атак, пов’язаних з DarkSword».
Спочатку реліз iOS 18.7.7 та iPadOS 18.7.7 від 24 березня 2026 року був доступний лише для обмеженого набору моделей: iPhone XS, iPhone XS Max, iPhone XR та iPad 7‑го покоління. Тепер оновлення поширюється і на пристрої, які формально можуть перейти на iOS 26, але з різних причин залишаються на iOS 18.
Apple наголошує, що патчі, які закривають уразливості, що експлуатує DarkSword, уперше вийшли ще у 2025 році. Однак зараз компанія робить акцент на максимальному спрощенні встановлення виправлень для тих, хто не оновився до останньої мажорної версії ОС, фактично відступивши від звичної стратегії «оновлюйтесь до найновішої iOS».
Експлойт-кит DarkSword: як працює атака на iPhone та iPad
За даними Google Threat Intelligence Group (GTIG), iVerify та Lookout, DarkSword застосовується принаймні з липня 2025 року проти користувачів у Саудівській Аравії, Туреччині, Малайзії та Україні. Набір експлойтів націлений на iOS та iPadOS версій від 18.4 до 18.7, тобто саме на пристрої, які вже не завжди отримують оновлення миттєво.
Watering hole атаки: зараження через «чесний» сайт
DarkSword використовує техніку watering hole-атак. Зловмисники зламують легітимний, популярний вебсайт і непомітно вбудовують у нього шкідливий код. Користувачу достатньо просто відвідати такий ресурс на вразливому iPhone чи iPad — далі експлойт-кит автоматично запускає ланцюжок атак без будь-яких додаткових кліків, завантажень чи встановлень.
Після успішної експлуатації уразливостей DarkSword доставляє на пристрій бекдор та модуль збору даних. Це забезпечує стійкий віддалений доступ і систематичну крадіжку інформації — контактів, повідомлень, файлів, даних про місцезнаходження та активність у мережі. Дослідники відзначають, що більш нова версія DarkSword потрапила в публічний доступ на GitHub, що підвищує ризик її використання менш кваліфікованими групами.
Роль кібершпигунських груп: COLDRIVER та GHOSTBLADE
За інформацією Proofpoint та Malfors, експлойт-кит DarkSword уже активно використовує російська кібершпигунська група COLDRIVER (TA446). У рамках її кампаній через DarkSword доставляється шкідливе ПЗ GHOSTBLADE, спрямоване на крадіжку даних у державних структур, аналітичних центрів, університетів, фінансових та юридичних організацій.
Співзасновник iVerify Роккі Коул зазначає, що DarkSword здатен «тихо забирати величезні обсяги користувацьких даних лише тому, що людина відвідала реальний, але скомпрометований сайт». На тлі зростання комерційного ринку 0‑day‑уразливостей та готових експлойт‑кітів така модель атак стає дедалі привабливішою для кібершпигунських груп.
Ризики для користувачів і організацій
Експерти оцінюють, що приблизно п’ята частина користувачів продовжує працювати на застарілих версіях iOS без критичних патчів. У поєднанні з автоматизованими watering hole‑атаками це створює ситуацію, коли одноразовий візит на популярний сайт може обернутися повною компрометацією пристрою.
Місяцем раніше Apple вже рекомендувала власникам старіших моделей перейти на iOS 15.8.7, iPadOS 15.8.7, iOS 16.7.15 та iPadOS 16.7.15, які закривали частину уразливостей, що використовуються не лише DarkSword, а й іншим експлойт-китом Coruna. Додатково компанія почала надсилати Lock Screen‑сповіщення на пристрої з застарілими версіями iOS та iPadOS, попереджаючи про веб-атаки й закликаючи встановити оновлення.
Практичні рекомендації: як захистити iPhone, iPad та бізнес
Для пересічних користувачів ключовий крок — негайно встановити iOS 18.7.7 або iPadOS 18.7.7, якщо пристрій ще не оновлений до iOS 26. Також доцільно:
- увімкнути автоматичні оновлення системи та додатків;
- використовувати лише офіційний App Store;
- регулярно перезавантажувати пристрій, щоб обмежувати час життя можливих шкідливих сесій;
- уважно ставитися до підозрілих посилань навіть на «знайомих» сайтах.
Організаціям варто посилити мобільну безпеку: впровадити MDM‑рішення для централізованого контролю оновлень, обмежити доступ до корпоративних ресурсів з непатчених пристроїв, моніторити мережевий трафік на ознаки watering hole‑атак і регулярно навчати співробітників безпечному користуванню мобільними пристроями.
Ситуація з DarkSword демонструє, що навіть відносно закрита й орієнтована на безпеку екосистема Apple залишається вразливою до сучасних експлойт-китів і ринку 0‑day‑уразливостей. Перевірка версії iOS на власному пристрої та встановлення всіх доступних оновлень — мінімальний, але критично важливий крок. Ставтеся до мобільних оновлень так само серйозно, як до патчів для робочих станцій і серверів: від швидкості реакції сьогодні залежить, чи опиняться ваші дані в статистиці успішних кібератак завтра.
