A Apple estendeu os patches para a cadeia de exploração DarkSword a todos os usuários do iOS 18 em 1º de abril. A publicação das correções encerra uma janela de exposição que havia deixado uma fatia significativa dos iPhones sem proteção. O código foi exposto em 19 de março, e havia sido previamente corrigido, mas uma atualização do iOS colocou mais usuários em risco.A empresa havia corrigido o DarkSword primeiro no iOS 26, sua versão mais recente, e depois, em 24 de março, em dispositivos muito antigos para rodar o iOS 26. Ficou de fora o grupo de usuários com iPhones compatíveis com o iOS 26, mas que permaneciam no iOS 18 por escolha ou por obrigação corporativa.Vazamento no GitHub forçou a mão da AppleUsuários do iOS 18 ficaram no centro da janela de exposição após o vazamento do código, especialmente aqueles fora do ciclo mais recente de atualizações.O DarkSword foi publicado no GitHub na semana do dia 19 de março, conforme relatado pelo TecMundo. Esse código colocava uma ferramenta de ataque sofisticada ao alcance de qualquer agente de ameaça disposto a usá-la. A Apple reagiu dias depois com um patch retroativo.Justin Albrecht, pesquisador principal da empresa de segurança Lookout, reconhece a iniciativa como parte de um padrão incomum de resposta. Segundo ele, a Apple tomou medidas sem precedentes para combater tanto o DarkSword quanto o Coruna, outro kit de exploração revelado no mesmo período.O kit Coruna incluía notificações diretas para dispositivos vulneráveis e orientações publicadas sobre ameaças baseadas na web."Ele era capaz de realizar comando e controle via SMS, então basta fazer uma única modificação para extrair contatos da lista de contatos e enviar mensagens de texto em massa com links, e você tem um malware com capacidade de propagação", explica Cole. Evidências apontam que o Coruna foi desenvolvido originalmente por uma empresa contratada pelas Forças Armadas dos Estados Unidos.O Coruna estrutura uma cadeia modular de exploração via Safari, com loaders e exploits de kernel adaptados a diferentes versões do iOS, um desenho que favorece reutilização e rápida adaptação. Imagem: Kaspersky.DarkSword é mais difícil de detectar do que pareceO DarkSword foi revelado ao público duas semanas depois do Coruna e acabou sendo tratado como um capítulo secundário da mesma história. Cole discorda dessa hierarquia."De certa forma, é mais pernicioso, porque não fazia o root no dispositivo", diz ele. "O Coruna fazia o root. Portanto, presumivelmente, se você estivesse fazendo uma detecção de root, teria uma chance de talvez detectar o Coruna. Mas o DarkSword não faz o root, ele apenas herda os privilégios dos processos. Ele obtém escalonamento de privilégios suficiente para acessar processos que também têm acesso ao Ring 0."A cadeia do DarkSword combina múltiplas falhas encadeadas, de execução remota no JavaScriptCore a escape de sandbox e escalonamento de privilégios, para chegar ao payload final sem depender de um único ponto de falha. Imagem: Google Cloud SecuritySem a assinatura de um root, ferramentas convencionais de detecção têm muito menos chance de identificar a infecção. A combinação de maior base de usuários no iOS 18 em relação ao iOS 17, a versão mais recente afetada pelo Coruna, com a publicação do código no GitHub durante a janela sem patches retroativos é, nas palavras de Cole, uma crise.A Lookout já registrou campanhas ativas com o malware. Albrecht cita uma operação de phishing por e-mail conduzida pelo grupo TA446, que se passou pelo think tank Atlantic Council para distribuir o DarkSword. Outras campanhas observadas não puderam ser atribuídas a grupos específicos, e há registros de múltiplos testes do malware para fins ainda desconhecidos.Com o código publicado no GitHub, kits antes restritos a atores avançados passam a circular com menos barreiras, ampliando o risco de campanhas oportunistas.Política de atualização corporativa cria brecha estruturalA janela de exposição não afetou apenas usuários individuais relutantes em atualizar. Muitas empresas adotam uma política de atualização chamada n-menos-um, que consiste em manter os dispositivos corporativos sempre uma versão atrás do ciclo de patches mais recente. Uma prática de gerenciamento de risco que, neste caso, tornou-se o próprio risco.Cole questiona diretamente o modelo. "Digamos que você seja um usuário corporativo e seu departamento de TI diga que você precisa usar o que chamam de cadência de atualização n-menos-um. Se as correções não estão sendo retroportadas para todas as versões, como você deve se defender? Isso desafia fundamentalmente a noção de que uma estratégia baseada apenas em correções será suficiente daqui para frente."Com os dois exploits agora corrigidos, o alerta de Cole mira no que vem a seguir. “O que o DarkSword e o Coruna juntos mostram é que o mercado de kits de exploração de vulnerabilidades n-day para iOS está explodindo. O preço caiu muito rapidamente e, embora os dois já tenham sido totalmente corrigidos, isso levanta a questão de quantos outros kits desse tipo ainda estão por aí.”Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.