DarkSword: Bộ khai thác iPhone nguy hiểm nhất bị rò rỉ công khai
Bộ khai thác DarkSword, kết hợp 6 lỗ hổng bao gồm 3 zero-day, đã bị rò rỉ công khai trên GitHub vào khoảng ngày 22-23 tháng 3 năm 2026. Ước tính 221 triệu iPhone chạy iOS 18.4 đến 18.6.2 có nguy cơ bị chiếm toàn quyền chỉ qua một lần truy cập trang web chứa mã độc.
Đăng ngày 25 tháng 3, 2026 | cybersecurity
Photo: NurPhoto via TechCrunch
Điểm chính cần biết
- Bộ khai thác DarkSword gồm 6 lỗ hổng xâu chuỗi, trong đó 3 lỗ hổng zero-day, cho phép chiếm toàn quyền iPhone qua JavaScript
- Ước tính 221 triệu thiết bị iOS (phiên bản 18.4 - 18.6.2) nằm trong vùng ảnh hưởng
- Apple đã phát hành bản vá khẩn cấp ngày 11 tháng 3; Chế độ phong tỏa (Lockdown Mode) được xác nhận chặn được cuộc tấn công
- Đây là vụ rò rỉ khai thác iOS công khai nguy hiểm nhất kể từ Pegasus năm 2021
DarkSword là gì?
DarkSword là bộ công cụ khai thác lỗ hổng bảo mật nhắm vào hệ điều hành iOS của Apple, được phát triển bởi các tác nhân có liên kết nhà nước. Theo nhóm phân tích mối đe dọa của Google (Google Threat Intelligence Group - GTIG), công cụ này đã được sử dụng trong các chiến dịch giám sát có mục tiêu trước khi bị rò rỉ công khai.
Bộ khai thác hoạt động hoàn toàn qua JavaScript: nạn nhân chỉ cần truy cập một trang web chứa mã độc và chuỗi tấn công tự động kích hoạt mà không cần bất kỳ thao tác nào từ người dùng. Sau khi xâm nhập thành công, phần mềm gián điệp có toàn quyền truy cập tin nhắn, camera, micro, vị trí và mọi dữ liệu trên thiết bị.
▸ Nếu bạn đang dùng iPhone chạy iOS 18.5, thiết bị có thể bị chiếm toàn quyền chỉ bằng 1 lần truy cập web
Vụ rò rỉ: Chuyện gì đã xảy ra?
Photo: The Hacker News
Vào khoảng ngày 22-23 tháng 3 năm 2026, toàn bộ mã nguồn của bộ khai thác DarkSword được đăng tải công khai trên GitHub bởi một tài khoản ẩn danh. Repository chứa đầy đủ mã khai thác cho cả 6 lỗ hổng, bao gồm tài liệu hướng dẫn triển khai chi tiết và cơ sở hạ tầng command-and-control.
GitHub đã gỡ bỏ repository trong vài giờ, nhưng mã nguồn đã được sao chép và lan truyền rộng rãi trên các diễn đàn bảo mật ngầm và các kênh Telegram. Theo các nhà nghiên cứu bảo mật, đây là vụ rò rỉ vũ khí mạng cấp quốc gia nguy hiểm nhất kể từ khi phần mềm gián điệp Pegasus của NSO Group bị phơi bày vào năm 2021.
▸ Mã khai thác giờ đây nằm trong tay bất kỳ ai có đủ kiến thức kỹ thuật, không còn giới hạn trong phạm vi nhà nước
Phân tích chuỗi khai thác DarkSword
6 lỗ hổng được khai thác tuần tự, từ truy cập trang web đến chiếm toàn quyền thiết bị
Mã JavaScript độc hại kích hoạt lỗi tràn bộ nhớ trong trình duyệt Safari thông qua trang web bẫy.
Lỗ hổng sandbox cho phép mã độc thoát khỏi môi trường cách ly của trình duyệt.
Lỗ hổng zero-day trong nhân iOS cho phép mã độc chiếm quyền hệ thống ở mức cao nhất.
Vượt qua cơ chế xác minh chữ ký mã để tải và thực thi phần mềm gián điệp chưa được Apple ký.
Phần mềm gián điệp tự ghi vào phân vùng hệ thống, tồn tại sau khi khởi động lại thiết bị.
Truy cập toàn bộ tin nhắn, camera, micro, vị trí, ảnh và mọi dữ liệu trên thiết bị.
Thiết bị của bạn có bị ảnh hưởng?
DarkSword ảnh hưởng các thiết bị chạy iOS phiên bản từ 18.4 đến 18.6.2, bao gồm toàn bộ dòng iPhone hỗ trợ iOS 18. Kiểm tra phiên bản iOS bằng cách vào:
Phản ứng của Apple
Apple đã phát hành bản vá khẩn cấp vào ngày 11 tháng 3 năm 2026 cho các phiên bản iOS cũ hơn, trước cả khi bộ khai thác bị rò rỉ công khai. Điều này cho thấy Apple đã biết về các lỗ hổng từ trước thông qua các báo cáo nội bộ hoặc từ nhóm nghiên cứu bảo mật.
Apple cũng xác nhận rằng Chế độ phong tỏa (Lockdown Mode) có khả năng chặn chuỗi khai thác DarkSword bằng cách vô hiệu hóa các tính năng web nâng cao mà bộ khai thác cần để khởi động cuộc tấn công. Tuy nhiên, không phải tất cả người dùng đều bật tính năng này vì nó hạn chế đáng kể các chức năng thường ngày của thiết bị.
▸ Nếu bạn chưa cập nhật iOS từ trước ngày 11 tháng 3, thiết bị của bạn đã trong tình trạng dễ bị tấn công suốt 2 tuần qua
So sánh DarkSword và Pegasus
Photo: Wikimedia Commons
| DarkSword | Pegasus | |
|---|---|---|
| Mục tiêu | iOS 18.4 - 18.6.2 | iOS / Android |
| Lỗ hổng | 6 (3 zero-day) | 3+ zero-day |
| Vector tấn công | JavaScript (truy cập web) | iMessage (zero-click) |
| Khả năng tiếp cận | Rò rỉ công khai, miễn phí | Bán cho chính phủ, triệu USD |
| Thiết bị ảnh hưởng | ~221 triệu | Hàng chục nghìn (mục tiêu) |
| Tình trạng | Rò rỉ tháng 3/2026 | Phát hiện 2021 |
Điểm khác biệt lớn nhất giữa DarkSword và Pegasus nằm ở khả năng tiếp cận. Pegasus của NSO Group chỉ được bán cho chính phủ với giá hàng triệu đô la mỗi giấy phép, giới hạn số lượng nạn nhân trong phạm vi hàng chục nghìn người. DarkSword, sau khi bị rò rỉ công khai và miễn phí trên GitHub, mở ra nguy cơ khai thác quy mô lớn chưa từng có với 221 triệu thiết bị nằm trong vùng ảnh hưởng.
Bạn cần làm gì ngay bây giờ
Vào Cài đặt > Cài đặt chung > Cập nhật phần mềm và cài đặt phiên bản mới nhất có sẵn. Bản vá khẩn cấp của Apple đã sửa tất cả 6 lỗ hổng.
Vào Cài đặt > Quyền riêng tư & Bảo mật > Chế độ phong tỏa. Chế độ này hạn chế tính năng nhưng chặn được DarkSword.
Nếu bạn đã truy cập các trang web không quen thuộc hoặc nhận được liên kết đáng ngờ gần đây, hãy cân nhắc sao lưu dữ liệu quan trọng và khôi phục cài đặt gốc.
Tránh nhấn vào các liên kết được gửi qua tin nhắn, email hoặc mạng xã hội từ người gửi bạn không nhận diện được.
▸ Cập nhật iOS mất khoảng 15-20 phút nhưng có thể bảo vệ toàn bộ dữ liệu cá nhân, ảnh, tin nhắn và thông tin tài chính trên thiết bị của bạn
Bài viết liên quan
Nguồn tham khảo
Câu hỏi thường gặp
Cùng chủ đề— Apple 2026: Siri AI, MacBook Neo, iPhone Fold & Apple Intelligence
Khám phá công cụ ZestLab
Từ khóa liên quan
Theo dõi xu hướng mới nhất
Bookmark trang này và quay lại thường xuyên để cập nhật thông tin mới nhất.