Apple neemt de zeldzame stap om patches terug te porten naar iOS 18 omdat DarkSword zo ernstig is

Wanneer Apple zijn eigen regels breekt, weet je dat het mis is

Apple doet geen gunsten voor mensen die softwareupdates overslaan. De algemene filosofie van het bedrijf is altijd simpel geweest: update of accepteer de consequenties. Dus wanneer Cupertino aankondigt dat het zeldzame backported beveiligingspatches specifiek voor iOS 18 uitbrengt, weet je dat er iets werkelijk alarmerends aan de hand is.

Dat iets is DarkSword, een exploit-kit die sinds ten minste november 2025 stilletjes iPhones infecteert en nu op alarmerende wijze publiek is geworden. Apple heeft aan WIRED bevestigd dat het iOS 18-specifieke fixes zal leveren voor de miljoenen iPhone-eigenaren die nog op die versie draaien, in plaats van hen te dwingen over te stappen naar iOS 26. Voor Apple is dit de beveiligingsequivalent van een huisbezoek.

Wat is DarkSword precies?

Ontdekt en geanalyseerd door Google's Threat Intelligence Group (GTIG), mobiel beveiligingsbedrijf iVerify en Lookout, is DarkSword een geavanceerde exploit-keten die zich richt op iPhones met iOS 18.4 tot en met 18.7. Het maakt gebruik van zes afzonderlijke kwetsbaarheden, waarvan er drie zero-days waren, wat betekent dat Apple er geen weet van had voordat ze actief in het wild werden gebruikt.

De aanvalsmethode is wat beveiligingsonderzoekers een "drive-by" exploit noemen. Bezoek een gecompromitteerde website op een kwetsbare iPhone en DarkSword kan stilletjes je apparaat overnemen. Geen dubieuze app-installaties. Geen verdachte toestemmingsverzoeken. Gewoon een webpagina die het vuile werk opknapt terwijl jij nietsvermoedend surft.

Zodra het binnen is, implementeert de exploit-keten drie verschillende malwarefamilies: GHOSTBLADE, GHOSTKNIFE en GHOSTSABER. Ja, iemand in de naamgevingscommissie had duidelijk plezier, maar de dreiging zelf is allesbehalve grappig.

De schaal van het probleem

Hier wordt het pas echt ongemakkelijk. Sinds februari 2026 draaide ongeveer een kwart van alle iPhone-gebruikers nog op iOS 18. Apple's eigen App Store-gegevens van 12 februari toonden 20% onder recente apparaten, waarbij bredere schattingen inclusief oudere hardware dat cijfer op ongeveer 24-25% brengen. Afhankelijk van wiens berekeningen je vertrouwt, vertaalt dat zich naar ergens tussen de 220 miljoen en 270 miljoen getroffen iPhones.

Om dat in perspectief te plaatsen: dat is ongeveer de bevolking van Indonesië die op een kwetsbaar besturingssysteem zit.

Bevestigde doelwitten zijn tot nu toe gebruikers in Maleisië, Saudi-Arabië, Turkije en Oekraïne, maar de situatie escaleerde dramatisch toen de DarkSword-code rond 23 maart 2026 op GitHub werd gelekt. Wat ooit een tool voor gerichte surveillance was, is nu effectief open-source wapentuig.

Er zijn ook onbevestigde berichten van een beveiligingsonderzoeker dat een nieuw actief DarkSword-domein is geïdentificeerd dat zich richt op gebruikers in de VS, hoewel deze claim niet onafhankelijk is bevestigd door meer dan één bron.

Van spionnen naar criminelen: De reis van DarkSword

Google's threat intelligence team heeft een deprimerend bekend patroon waargenomen bij DarkSword. Het begon als een commercieel surveillancemiddel, het soort dat wordt verkocht aan overheden die beloven dat ze het alleen tegen echte dreigingen zullen gebruiken. Van daaruit migreerde het naar de Russische spionagegroep UNC6353, voordat het doorsijpelde naar winstgerichte cybercriminelen.

De progressie van door de staat gesponsord instrument naar crimineel handelswaar wordt een bekend pad in de beveiligingswereld. Beveiligingsbedrijven Malfors en Proofpoint hebben al aangegeven dat TA446 (ook bekend als Star Blizzard of COLDRIVER), een hackersgroep die gelinkt is aan de FSB van het Kremlin, vanaf 26 maart phishing-e-mails begon te versturen die bewapend waren met DarkSword. Deze e-mails bootsten specifiek uitnodigingen van de Atlantic Council na en richtten zich op overheidsfunctionarissen, denktanks, universiteiten, financiële instellingen en juridische entiteiten.

Patrick Wardle, een voormalig NSA-hacker en CEO van het op Apple gerichte beveiligingsbedrijf DoubleYou, behoort tot degenen die aan de bel trekken. Wanneer iemand met zijn achtergrond zegt dat de situatie ernstig is, is het de moeite waard om op te letten.

Waarom Apple het precedent doorbreekt

Apple's besluit om patches terug te porten naar iOS 18 is werkelijk ongebruikelijk. Het bedrijf heeft dit eerder gedaan, met name toen de Coruna exploit-kit werd ontdekt en Apple beveiligingsfixes terugbracht naar iOS 17, maar het blijft de uitzondering in plaats van de regel.

Het Coruna-precedent is de moeite waard om te onderzoeken omdat de parallellen treffend zijn. Die toolkit werd naar verluidt ontwikkeld door de Trenchant-divisie van L3Harris voor de Amerikaanse overheid voordat het zich verspreidde naar Russische spionagegroepen en uiteindelijk Chinese cybercriminelen. Het trof ten minste 42.000 apparaten, wat destijds als enorm werd beschouwd voor iOS. DarkSword dreigt die aantallen volledig te overschaduwen.

Het kernprobleem is dat Apple niet zomaar tegen een kwart van zijn gebruikersbestand kan zeggen dat ze moeten upgraden naar iOS 26. Veel gebruikers zijn bewust op iOS 18 gebleven, en niet omdat ze lui of technofoob zijn.

Het iOS 26-probleem

iOS 26, uitgebracht in september 2025 met zijn controversiële "Liquid Glass" redesign, heeft een historisch slechte adoptie gekend. Sinds januari 2026 was slechts 18,1% van de iPhones overgestapt, vergeleken met 77,1% voor iOS 18 in dezelfde fase van zijn levenscyclus. Dat is een verbazingwekkende daling.

De redenen zijn meervoudig. De Liquid Glass interface-revisie kreeg aanzienlijke kritiek van gebruikers die het een stap terug vonden in gebruiksvriendelijkheid. In het VK introduceerde iOS 26.4 specifiek verplichte leeftijdsverificatiefuncties die verder verzet opriepen van gebruikers die niet bereid waren om extra persoonlijke gegevens af te staan.

Honderden miljoenen mensen vertellen dat ze een besturingssysteem moeten adopteren dat ze actief hebben afgewezen, is geen haalbare beveiligingsstrategie. Vandaar de backported patches.

Wat je nu moet doen

Als je iOS 18.4 tot en met 18.7 draait, is het advies eenvoudig:

• Installeer de backported patches zodra ze binnenkomen. Apple heeft bevestigd dat ze eraan komen. Treuzel niet.
• Wees buitengewoon voorzichtig met links. DarkSword werkt via gecompromitteerde websites, en de aan de FSB gelinkte phishing-campagne betekent dat kwaadaardige links actief worden verspreid via e-mail.
• Controleer je iOS-versie. Ga naar Instellingen, dan Algemeen, dan Info. Als je in het getroffen bereik zit, blijf dan alert op de updatemelding.
• Overweeg of iOS 26 misschien toch de moeite waard is. Ja, Liquid Glass vergt wat gewenning. Maar het draaien van een besturingssysteem dat actief volledige beveiligingsupdates ontvangt, heeft over het algemeen de voorkeur boven het vertrouwen op backported noodfixes.

Het grotere geheel

DarkSword benadrukt een groeiende spanning in het smartphone-beveiligingsmodel. Apple houdt al lang vol dat de beste bescherming simpelweg het draaien van de nieuwste software is. Maar wanneer adoptiecijfers kelderen omdat gebruikers een nieuwe release oprecht niet fijn vinden, stort dat model spectaculair in.

Het bedrijf verdient hier krediet voor het kiezen van pragmatisme boven trots. Het terugpoorten van patches naar iOS 18 is een impliciete erkenning dat de adoptie van iOS 26 niet volgens plan is verlopen, en Apple doet die erkenningen niet lichtzinnig.

Rocky Cole, mede-oprichter van iVerify, is uitgesproken geweest over de noodzaak van dit soort flexibiliteit. Wanneer honderden miljoenen apparaten risico lopen, klinkt de "gewoon updaten" mantra hol.

Voor nu is de onmiddellijke dreiging duidelijk en is de oplossing onderweg. Maar de diepere vraag blijft: wat gebeurt er de volgende keer dat er een kritieke exploit opduikt en een aanzienlijk deel van het gebruikersbestand op een ouder besturingssysteem zit dat ze weigeren te verlaten? Apple moet zijn benadering van ondersteuning op lange termijn wellicht heroverwegen, want DarkSword zal niet de laatste toolkit zijn die dit gat uitbuit.

Lees het originele artikel op bron.