Stačí otevřít webovou stránku a váš iPhone je napadený. Zranitelnosti využívají i státní hackeři

Šest bezpečnostních chyb, jeden řetězec, nula kliknutí navíc. Exploit DarkSword proměnil běžné surfování na iPhone v bráně pro státní špionáž.

Zdroj fotografie: Unsplash

Představte si, že otevřete zpravodajský web, který čtete každý den. Stránka vypadá normálně, nic nekliknete, nic nestahujete. Jenže pod povrchem se právě spustil řetězec šesti zranitelnosti, který během sekundy prošel Safari až do jádra systému a nasadil malware s přístupem ke všemu: zprávám, heslům, poloze, kryptopeněženkám. Přesně takto funguje DarkSword, exploit chain popsaný Google Threat Intelligence Group v březnu 2026. Aktivní byl minimálně od listopadu 2025, využíval ho státní i komerční skupiny a cílil na iPhone s iOS 18.4 až 18.7. Apple obnovil záplatou iOS 18.7.7, vydanou 24. března 2026. Otázka pro každého majitele iPhone je prostá: jako verze systému máte právě teď?

Jak útok funguje krok za krokem

Celý scénář začíná takzvaným útokem napajedla. Útočníci nekompromitují samotný iPhone, ale legitimní web, který oběť běžně navštěvuje. Do stránky vloží skrytý iframe, ten stáhne soubor „rce_loader.jsa“ další moduly. Od té chvíle běží vše automaticky:

• WebKit / JavaScriptCore – dvě chyby (CVE-2025-31277 a CVE-2025-43529) umožní snadné spuštění kódu přímo v prohlížeči.
• dyld – CVE-2026-20700 obejde ochranu PAC (Pointer Authentication Code), která má bránit přepisování ukazatelů.
• ANGLE – CVE-2025-14174 přenesený útočník ze sandboxu procesu WebContent do procesu GPU.
• XNU kernel – CVE-2025-43510 a CVE-2025-43520 zajistí únik ze sandboxu a eskalaci práv až na úroveň jádra.

Na konci řetězce sedí finální payload. V ukrajinské kampani šlo o GHOSTBLADE, JavaScriptový dataminer, který během sekundy až minutu vytáhne iMessage, WhatsApp, Telegram, přihlášené účty, klíčenky, hesla Wi-Fi, historii polohy, fotky, iCloud Drive, poznámky, kalendář, zdravotní data i obsah kryptopeněženek. Pak smaže crash logy a zmizí. Lookout tento model označuje jako „hit-and-run“: žádná dlouhodobá perzistence, jen rychlý sběr a exfiltrace.

Název DarkSword mimochodem pochází z proměnné „DarkSword-WIFI-DUMP“ nalezené přímo v kódu implantátu.

Kdo za tím stojí a koho to zasáhlo

Google veřejně jmenuje tři odlišné aktéry sdílející tentýž exploit chain:

• UNC6353 – podezřelá ruská špionážní skupina, která DarkSword nasadila proti cílům na Ukrajině přes kompromitované ukrajinské weby.
• UNC6748 – cluster zaměřený na saúdské uživatele; Google veřejně nepřipisuje konkrétnímu státu.
• PARS Defense – turecký komerční dodavatel sledovacích nástrojů, nikoli klasická státní jednotka.

Veřejně doložené kampaně zasáhly Saúdskou Arábii, Turecko, Malajsii a Ukrajinu. Pro Českou republiku ani střední Evropu veřejné zdroje potvrzené případy neuvádějí. NÚKIB ve čtvrtletním přehledu Q1 2026 zmiňuje jako relevantní hrozbu Corunu, DarkSword ale nejmenuje.

Klíčový je podle nás kvalitativní posun: zatímco Pegasus od NSO Group historicky fungoval jako zero-click útok přes iMessage cílený na jednotlivce, DarkSword je webový watering hole sdílený mezi více aktéry. To znamená širší potenciální dosah. iVerify odhaduje až 270 milionů zařízení na zranitelných verzích iOS. Nejde o počet obětí, ale o velikost exponované základny.

Proč profese ani země není ochrana

Apple tradičně rámuje pokročilý spyware jako hrozbu pro velmi malý počet jednotlivců: novináře, aktivisty, diplomaty. U DarkSwordu ale platí jiná logika. Útok nečeká na konkrétní telefonní číslo ani Apple ID. Čeká na návštěvu kompromitovaného webu. Pokud útočník ovládne populární zpravodajský portál nebo oborový server, dosáhne každého, kdo tam přijde s neaktualizovaným iPhonem.

Běžný český uživatel je méně pravděpodobný cíl než ukrajinský novinář. Ale samotný fakt, že „jen běžně surfuje“, ho technicky nechrání. Rozhoduje verze iOS a to, jaký web se otevře.

Zjistit, zda byl váš iPhone kompromitován, je pro běžného uživatele prakticky nemožné. Malware maže stopy, crash logy mizí. Apple posílá bezpečnostní upozornění cíleným osobám, ale jejich nepřítomnost není důkazem čistého zařízení.

Co udělal hned teď

Ochrana je v tomto případě triviálně jednoduchá, pokud člověk ví, že existuje:

• Zkontrolovat verzi iOS: Nastavení → Obecné → Informace.
• Aktualizovat: Nastavení → Obecné → Aktualizace softwaru → Stáhnout a nainstalovat. Cíl je minimálně iOS 18.7.7 pro zařízení zůstávající na iOS 18, ideální přechod na iOS 26.
• Zapnout Lockdown Mode (pokud aktualizace nejde provést hned nebo patří mezi vysoce exponované osoby): omezí webové technologie, zablokuje většinu příloh v Messages a některé příchozí hovory, ale proti DarkSwordu.
• Nechat zapnuté Safari Safe Browsing: Apple uvádí, že ve výchozím stavu blokuje škodlivé domény identifikované v těchto útocích.

Apple ve svém doporučení říká říká, že zařízení s aktualizovaným softwarem nebyla ohrožena nahlášenými útoky. To ale neznamená absolutní imunitu vůči budoucímu zero-day, znamená to jen, že známý DarkSword na záplatovaném systému nefunguje.

Proč je DarkSword zlomový

Exploit chainy pro iOS existovaly vždy. Pegasus, Predator, QuaDream: všechny cíle úzce a draze. DarkSword mění rovnici tím, že jeden řetězec sdílí ruská špionáž, blízkovýchodní cluster i komerční vendor. Webový vektor navíc ovládá je jinak než zero-click přes iMessage: nemusíte znát číslo oběti, stačí nout web, který navštěvuje.

Až 270 milionů iPhonů mohlo být potenciálně vystaveno útoku. Kolik jich bylo skutečně kompromitováno, nikdo veřejně neřekl. Jediné, co je jisté: kdo má iOS 18.7.7 nebo novější, je proti tomuto konkrétnímu řetězci v bezpečí. Kdo ne, spoléhá na to, že dnes neotevře špatnou stránku.