Falha em iPhones antigos expõe usuários a riscos de espionagem e roubo de dados

Só de visitar um site, o iPhone pode ser invadido — e você nem percebe. Um programa espião chamado Darksword foi identificado por pesquisadores de segurança digital, capaz de acessar mensagens, senhas, fotos e até carteiras de criptomoedas em iPhones que não foram atualizados. A ameaça já atingiu países como Ucrânia, Turquia, Arábia Saudita e Malásia — e o número de aparelhos vulneráveis pode chegar a 270 milhões no mundo todo.

A descoberta foi feita pelas empresas Lookout e iVerify, com apoio de pesquisadores do Google, e levantou um alerta urgente: iPhones que ainda rodam versões antigas do iOS estão expostos a ataques que não exigem nenhuma ação do usuário além de acessar uma página na internet.

O que é o Darksword e como ele ataca iPhones?

O Darksword é um conjunto de exploits — um tipo de ataque em que o invasor usa múltiplas falhas de segurança para comprometer um dispositivo e extrair informações. Segundo o Google Threat Intelligence Group, a ferramenta usa seis vulnerabilidades diferentes para comprometer completamente um iPhone vulnerável.

O ataque começa pelo navegador Safari e, ao visitar um site malicioso ou comprometido, o dispositivo pode ser infectado sem que o usuário perceba — o que os especialistas chamam de ataque drive-by.

Quais dados podem ser roubados

Após uma exploração bem-sucedida, o malware Ghostblade é executado no dispositivo e coleta uma série de informações pessoais, incluindo: mensagens SMS e iMessage, histórico de chamadas, contatos, senhas de Wi-Fi, cookies e histórico de navegação do Safari, dados de localização, fotos, arquivos do iCloud Drive, e-mails e até mensagens do Telegram e WhatsApp.

Além disso, o Ghostblade se destaca por também buscar dados de criptomoedas, identificando aplicativos de exchanges como Coinbase, Binance e Kraken, além de carteiras como Ledger, MetaMask e Exodus. Após extrair as informações, o malware apaga seus próprios rastros, o que dificulta a detecção por parte da vítima.

Quais versões do iOS estão vulneráveis

O Darksword foi identificado como capaz de atingir iPhones com versões do iOS entre 18.4 e 18.7, lançadas entre março e agosto do ano passado.

Estimativas da iVerify indicam que até 270 milhões de iPhones ao redor do mundo ainda utilizam versões do sistema operacional vulneráveis a esses ataques.

Segundo caso em menos de um mês

O Darksword é o segundo caso identificado em março envolvendo ferramentas de espionagem voltadas especificamente para dispositivos Apple. No início do mês, pesquisadores já haviam revelado outro programa chamado “Coruna”, que também explorava falhas no sistema iOS.

Justin Albrecht, pesquisador da Lookout, afirmou à Reuters que “agora existe uma cadeia confirmada de ferramentas desse tipo que acabaram nas mãos de grupos possivelmente criminosos interessados em ganhos financeiros.”

Quem está por trás dos ataques com Darksword

Pesquisadores do Google identificaram campanhas de ataque usando o Darksword contra alvos na Arábia Saudita, Turquia, Malásia e Ucrânia. Algumas dessas operações estão associadas a um fornecedor de tecnologia de vigilância chamado PARS Defense, sediado na Turquia.

Além disso, um grupo de espionagem suspeito de ter ligações com a Rússia, identificado como UNC6353, utilizou o Darksword em ataques contra alvos ucranianos a partir de dezembro de 2025, com operações registradas até março de 2026.

O código vazou no GitHub — e isso preocupa especialistas

Uma versão mais recente do Darksword foi publicada no GitHub por um usuário desconhecido. Segundo Matthias Frielingsdorf, cofundador da iVerify, os arquivos são simples — apenas HTML e JavaScript — e qualquer pessoa pode copiá-los e hospedá-los em um servidor em poucas horas. “Os exploits funcionam diretamente. Não é necessário nenhum conhecimento de iOS”, alertou.

Como a falha em iPhones antigos é explorada tecnicamente

O Darksword usa seis vulnerabilidades registradas, sendo três delas exploradas como zero-days antes de serem corrigidas pela Apple: CVE-2026-20700 (bypass de autenticação no dyld), CVE-2025-43529 e CVE-2025-14174 (corrupção de memória). A cadeia de ataque começa no navegador Safari, avança por dois escapes de sandbox e culmina em uma escalada de privilégios no kernel do iOS.

Esse tipo de encadeamento de falhas torna a defesa mais difícil, pois cada camada do sistema operacional é comprometida em sequência.

O que a Apple recomenda para proteger seu iPhone

A Apple confirmou as vulnerabilidades e emitiu orientações claras para todos os usuários. De acordo com o comunicado oficial da empresa:

• Atualizar imediatamente para a versão mais recente do iOS disponível para o aparelho
• Dispositivos com iOS 15 e iOS 16 receberam atualização de segurança em 11 de março de 2026
• Aparelhos com iOS 13 ou iOS 14 devem ser atualizados ao menos para o iOS 15
• Usuários que não conseguem atualizar podem ativar o Modo de Bloqueio (Lockdown Mode)

A porta-voz da Apple, Sarah O’Rourke, afirmou que “manter o software atualizado é a medida mais importante que os usuários podem tomar para preservar a segurança dos produtos Apple”, e que dispositivos com software atualizado não estavam em risco nos ataques relatados.

O Safari também tem uma camada de proteção

A Apple também lançou atualizações para iOS 15 e iOS 16 em março de 2026 para ampliar a proteção a usuários com aparelhos mais antigos que não suportam o iOS 26. O sistema Apple Safe Browsing, ativo por padrão no Safari, já bloqueia automaticamente os domínios identificados nessas campanhas maliciosas.

Falha em iPhones: o que fazer agora se você usa um aparelho antigo

Se o iPhone ainda roda uma versão desatualizada do sistema, a recomendação é agir sem demora. Veja o passo a passo:

1. Ajustes ? Geral ? Atualização de Software
2. Instale a versão mais recente disponível para o aparelho
3. Caso não seja possível atualizar, vá para Ajustes ? Privacidade e Segurança ? Modo de Bloqueio e ative a função
4. Mantenha o Safari como navegador principal, com o Apple Safe Browsing ativo
5. Evite clicar em links recebidos por mensagem ou e-mail de remetentes desconhecidos

Quer entender melhor como proteger seus dados digitais no dia a dia? O portal Notícias Concursos traz conteúdos atualizados sobre tecnologia e segurança digital diariamente.