Apple macht den seltenen Schritt, Patches auf iOS 18 zurückzuportieren, weil DarkSword so ernst ist

Wenn Apple seine eigenen Regeln bricht, weiss man: Es ist schlimm

Apple macht keine Gefälligkeiten für Leute, die Software-Updates überspringen. Die allgemeine Philosophie des Unternehmens war stets simpel: aktualisieren oder die Konsequenzen tragen. Wenn Cupertino also ankündigt, seltene zurückportierte Sicherheits-Patches speziell für iOS 18 bereitzustellen, weiss man, dass etwas wirklich Beunruhigendes im Gange ist.

Dieses Etwas ist DarkSword, ein Exploit-Kit, das iPhones seit mindestens November 2025 still und leise kompromittiert und nun beunruhigend öffentlich geworden ist. Apple hat gegenüber WIRED bestätigt, dass es iOS-18-spezifische Fixes für die Millionen von iPhone-Besitzern liefern wird, die noch diese Version nutzen, anstatt sie auf iOS 26 zu zwingen. Für Apple ist das das Sicherheitsäquivalent eines Hausbesuchs.

Was genau ist DarkSword?

Entdeckt und analysiert von Googles Threat Intelligence Group (GTIG), der Mobilsicherheitsfirma iVerify und Lookout ist DarkSword eine ausgeklügelte Exploit-Kette, die iPhones mit iOS 18.4 bis 18.7 ins Visier nimmt. Sie nutzt sechs separate Schwachstellen aus, von denen drei Zero-Days waren, das heisst, Apple hatte keinerlei Kenntnis von ihnen, bevor sie aktiv in der freien Wildbahn eingesetzt wurden.

Die Angriffsmethode bezeichnen Sicherheitsforscher als "Drive-by"-Exploit. Besucht man eine kompromittierte Website auf einem anfälligen iPhone, kann DarkSword das Gerät lautlos übernehmen. Keine dubiosen App-Installationen. Keine verdächtigen Berechtigungsabfragen. Nur eine Webseite, die die schmutzige Arbeit erledigt, während man ahnungslos surft.

Einmal eingedrungen, setzt die Exploit-Kette drei verschiedene Malware-Familien ein: GHOSTBLADE, GHOSTKNIFE und GHOSTSABER. Ja, jemand im Namenskomitee hatte offensichtlich Spass dabei, aber die Bedrohung selbst ist alles andere als amüsant.

Das Ausmass des Problems

Hier wird es wirklich unangenehm. Stand Februar 2026 nutzte etwa ein Viertel aller iPhone-Nutzer noch iOS 18. Apples eigene App-Store-Daten vom 12. Februar zeigten 20% bei neueren Geräten, wobei breitere Schätzungen einschliesslich älterer Hardware diese Zahl auf rund 24-25% treiben. Je nachdem, wessen Zahlen man vertraut, entspricht das irgendwo zwischen 220 Millionen und 270 Millionen betroffenen iPhones.

Um das in Perspektive zu setzen: Das entspricht etwa der Bevölkerung Indonesiens, die auf einem anfälligen Betriebssystem sitzt.

Zu den bisher bestätigten Zielen gehören Nutzer in Malaysia, Saudi-Arabien, der Türkei und der Ukraine, aber die Lage eskalierte dramatisch, als der DarkSword-Code um den 23. März 2026 auf GitHub geleakt wurde. Was einst ein Werkzeug für gezielte Überwachung war, ist nun praktisch Open-Source-Waffe.

Es gibt auch unbestätigte Berichte eines Sicherheitsforschers, dass eine neue aktive DarkSword-Domain identifiziert wurde, die auf US-basierte Nutzer abzielt, obwohl diese Behauptung bisher nicht unabhängig von einer einzigen Quelle bestätigt wurde.

Von Spionen zu Kriminellen: DarkSwords Weg

Googles Threat-Intelligence-Team hat ein deprimierend vertrautes Muster bei DarkSword verfolgt. Es begann als kommerzielles Überwachungswerkzeug, die Art, die an Regierungen verkauft wird, die pinky-versprechen, es nur gegen echte Bedrohungen einzusetzen. Von dort migrierte es zur russischen Spionagegruppe UNC6353, bevor es zu gewinnorientierten Cyberkriminellen durchsickerte.

Der Weg vom staatlich geförderten Werkzeug zum kriminellen Handelsgut wird ein ausgetretener Pfad in der Sicherheitswelt. Die Sicherheitsfirmen Malfors und Proofpoint haben bereits darauf hingewiesen, dass TA446 (auch bekannt als Star Blizzard oder COLDRIVER), eine mit dem FSB des Kremls verbundene Hackergruppe, ab dem 26. März mit DarkSword bewaffnete Phishing-E-Mails versendete. Diese E-Mails täuschten gezielt Atlantic-Council-Einladungen vor und zielten auf Regierungsbeamte, Denkfabriken, Universitäten, Finanzinstitutionen und Rechtsentitäten ab.

Patrick Wardle, ehemaliger NSA-Hacker und CEO der auf Apple fokussierten Sicherheitsfirma DoubleYou, gehört zu denjenigen, die Alarm schlagen. Wenn jemand mit seinem Hintergrund sagt, die Lage sei ernst, ist es der Aufmerksamkeit wert.

Warum Apple einen Präzedenzfall bricht

Apples Entscheidung, Patches auf iOS 18 zurückzuportieren, ist wirklich ungewöhnlich. Das Unternehmen hat dies zuvor getan, insbesondere als das Coruna-Exploit-Kit entdeckt wurde und Apple Sicherheitsfixes auf iOS 17 zurückschob, aber es bleibt die Ausnahme und nicht die Regel.

Der Coruna-Präzedenzfall ist es wert, untersucht zu werden, da die Parallelen frappierend sind. Dieses Toolkit wurde Berichten zufolge von L3Harris' Trenchant-Division für die US-Regierung entwickelt, bevor es sich auf russische Spionagegruppen und schliesslich chinesische Cyberkriminelle ausbreitete. Es betraf mindestens 42.000 Geräte, was damals für iOS als massiv galt. DarkSword droht, diese Zahlen vollständig in den Schatten zu stellen.

Das Kernproblem ist, dass Apple einem Viertel seiner Nutzerbasis nicht einfach sagen kann, auf iOS 26 zu aktualisieren. Viele Nutzer sind bewusst auf iOS 18 geblieben, und nicht weil sie faul oder technophob sind.

Das iOS-26-Problem

iOS 26, das im September 2025 mit seinem umstrittenen "Liquid Glass"-Redesign veröffentlicht wurde, verzeichnet historisch schlechte Adoptionsraten. Stand Januar 2026 hatten nur 18,1% der iPhones den Sprung gewagt, verglichen mit 77,1% für iOS 18 zum gleichen Zeitpunkt in seinem Lebenszyklus. Das ist ein erschreckender Einbruch.

Die Gründe sind vielfältig. Die Liquid-Glass-Interface-Überarbeitung wurde von Nutzern stark kritisiert, die sie als Rückschritt in der Benutzerfreundlichkeit empfanden. Speziell im Vereinigten Königreich führte iOS 26.4 obligatorische Altersverifizierungsfunktionen ein, die weiteren Widerstand von Nutzern auslösten, die nicht bereit waren, zusätzliche persönliche Daten herauszugeben.

Hunderte Millionen Menschen aufzufordern, ein Betriebssystem zu übernehmen, das sie aktiv abgelehnt haben, ist keine tragfähige Sicherheitsstrategie. Daher die zurückportierten Patches.

Was Sie jetzt sofort tun sollten

Wenn Sie iOS 18.4 bis 18.7 nutzen, ist der Rat eindeutig:

• Installieren Sie die zurückportierten Patches, sobald sie eintreffen. Apple hat bestätigt, dass sie kommen. Zögern Sie nicht.
• Seien Sie ausserordentlich vorsichtig bei Links. DarkSword funktioniert über kompromittierte Websites, und die mit dem FSB verbundene Phishing-Kampagne bedeutet, dass bösartige Links aktiv per E-Mail verbreitet werden.
• Prüfen Sie Ihre iOS-Version. Gehen Sie zu Einstellungen, dann Allgemein, dann Info. Wenn Sie sich im betroffenen Bereich befinden, bleiben Sie wachsam für die Update-Benachrichtigung.
• Überlegen Sie, ob iOS 26 tatsächlich den Sprung wert sein könnte. Ja, Liquid Glass braucht etwas Gewöhnung. Aber ein Betriebssystem zu betreiben, das aktiv vollständige Sicherheitsupdates erhält, ist generell vorzuziehen gegenüber dem Verlassen auf zurückportierte Notfall-Fixes.

Das grosse Bild

DarkSword verdeutlicht eine wachsende Spannung im Smartphone-Sicherheitsmodell. Apple hat lange behauptet, dass der beste Schutz schlicht darin besteht, die neueste Software zu betreiben. Aber wenn die Adoptionsraten einbrechen, weil Nutzer eine neue Version wirklich nicht mögen, bricht dieses Modell spektakulär zusammen.

Das Unternehmen verdient Anerkennung dafür, hier Pragmatismus über Stolz zu stellen. Das Zurückportieren von Patches auf iOS 18 ist ein implizites Eingeständnis, dass die iOS-26-Adoption nicht nach Plan verlaufen ist, und Apple macht solche Eingeständnisse nicht leichtfertig.

Rocky Cole, Mitgründer von iVerify, hat sich lautstark für diese Art von Flexibilität eingesetzt. Wenn Hunderte Millionen Geräte gefährdet sind, klingt das Mantra "einfach aktualisieren" hohl.

Vorerst ist die unmittelbare Bedrohung klar und der Fix ist auf dem Weg. Aber die tiefere Frage bleibt: Was passiert beim nächsten Mal, wenn ein kritischer Exploit auftaucht und ein erheblicher Teil der Nutzerbasis auf einem älteren Betriebssystem sitzt, das sie nicht verlassen wollen? Apple muss möglicherweise seinen Ansatz zur Langzeitunterstützung überdenken, denn DarkSword wird nicht das letzte Toolkit sein, das diese Lücke ausnutzt.

Lesen Sie den Originalartikel bei der Quelle.