Một tài khoản ẩn danh mang tên ResearcherX đã rao bán một chuỗi khai thác zero-day hoàn chỉnh nhắm vào hệ điều hành iOS 26 mới ra mắt của Apple trên dark web. Theo mô tả, đây là một chuỗi khai thác “full chain” – tức kẻ tấn công có thể đi từ bước xâm nhập ban đầu đến kiểm soát toàn bộ hệ thống mà nạn nhân không cần bấm gì (zero-click).
Exploit được quảng cáo có thể nâng đặc quyền lên root, mở quyền truy cập vào dữ liệu mật như tin nhắn và ảnh mã hóa, vị trí thời gian thực và toàn bộ Keychain. Công cụ cũng được mô tả có mức độ ẩn mình cao, không tạo crash hay dấu vết rõ ràng, khiến việc phát hiện càng khó khăn.
iOS 26 ra mắt tháng 9/2025 với nhiều nâng cấp bảo mật, đặc biệt cải thiện chống memory corruption. Nếu exploit này thật, nó cho thấy hacker đã tìm cách vượt qua các biện pháp bảo vệ mới nhất. Giá trên chợ đen được cho là 2–5 triệu USD, bán độc quyền cho một khách hàng duy nhất, thường là nation-state hoặc công ty tình báo tư nhân.
Dù vậy, giới nghiên cứu an ninh vẫn cảnh báo mọi người cần thận trọng. Dark web tồn tại rất nhiều vụ lừa đảo, ngay cả những người bán “có danh tiếng” cũng có thể thổi phồng khả năng để trục lợi. Tuy nhiên, việc exploit nhắm vào thành phần “Message Parser” lại phù hợp với xu hướng khai thác iOS trong nhiều năm qua, khi iMessage và BlastDoor thường là mục tiêu hàng đầu. Các chuyên gia dự đoán Apple có thể sẽ sớm phát hành các bản vá khẩn, chẳng hạn cập nhật iOS 26.0.2, để xử lý các lỗi trong cơ chế phân tích dữ liệu.
