Rząd USA ma najlepsze narzędzie do hackowania iPhone'ów. Wymknęło się spod kontroli

Jeśli Twój iPhone działa na przestarzałej wersji systemu, może być podatny na jeden z najbardziej zaawansowanych zestawów exploitów, jakie kiedykolwiek wykryto w ekosystemie Apple. Badacze bezpieczeństwa alarmują, że narzędzie o nazwie Coruna wykorzystuje 23 luki w iOS i było używane zarówno w operacjach szpiegowskich, jak i w typowej cyberprzestępczości nastawionej na zysk. Część analityków wskazuje, że narzędzie związane jest z podmiotami rządowymi w Stanach Zjednoczonych, a nawet mogło powstać na zlecenie rządu.

Według ustaleń Threat Intelligence Group z Google zestaw Coruna składa się z pięciu pełnych łańcuchów ataku obejmujących łącznie 23 techniki eksploatacji. Ataki były wymierzone w urządzenia działające na wersjach od iOS 13 do iOS 17.2.1. Wystarczyło odwiedzić spreparowaną stronę internetową, aby rozpocząć proces infekcji.

Eksploity koncentrowały się głównie na lukach w silniku WebKit wykorzystywanym przez przeglądarkę Safari. W wariancie dla przeglądarki Chrome nie potwierdzono podobnych technik. Co istotne, Coruna potrafiła wykrywać aktywny tryb blokady i rezygnowała z ataku, gdy mechanizm był włączony.

Apple uszczelniło wskazane podatności w nowszych wydaniach systemu. Obecnie aktualną wersją pozostaje iOS 26, która neutralizuje znane elementy zestawu Coruna. Do połowy lutego około 74 procent kompatybilnych urządzeń zostało zaktualizowanych.

Od operacji wywiadowczych do czarnego rynku

Pierwsze ślady użycia Coruny wykryto w lutym 2025 roku. Analitycy z Google zidentyfikowali wówczas anonimowego klienta korzystającego z infrastruktury dostawcy oprogramowania szpiegującego. Kilka miesięcy później identyczny zestaw exploitów pojawił się w rosyjskiej operacji wymierzonej w ukraińskie cele.

W grudniu narzędzie zostało zauważone w kampanii prowadzonej przez chińskojęzyczną grupę cyberprzestępczą. Fałszywe strony internetowe, w tym witryny podszywające się pod giełdy kryptowalut, serwowały kod atakujący każdego użytkownika iOS, który je odwiedził. Wyskakujące okna zachęcały właścicieli iPhone’ów do wejścia na stronę.

Firma iVerify oszacowała, że zainfekowanych mogło zostać około 42 tysięcy urządzeń i zwróciła uwagę na poziom zaawansowania projektu i koszty jego opracowania, liczone w milionach dolarów. W kodzie znaleziono ślady sugerujące anglojęzyczne środowisko twórców oraz podobieństwa do narzędzi wcześniej przypisywanych amerykańskim instytucjom.

Pojawia się hipoteza, że narzędzie pierwotnie powstało na zlecenie rządowe, a następnie wymknęło się spod kontroli i trafiło do obrotu na czarnym rynku. Alternatywna teoria mówi o powiązaniach z operacją Triangulacja, jednak część ekspertów odrzuca ten scenariusz, wskazując na spójność i integralność architektury Coruny.

PlasmaLoader i pełna kontrola nad systemem

Celem ataku było dostarczenie modułu o nazwie PlasmaLoader. Oprogramowanie działało w tle z uprawnieniami roota i umożliwiało pobieranie kolejnych komponentów. Analiza przeprowadzona przez Google wykazała, że malware potrafił przeszukiwać urządzenie i zbierać fragmenty tekstu, w tym dane mogące mieć wartość finansową.

Część z 23 exploitów nie otrzymała jeszcze publicznych identyfikatorów CVE. Badania nad pełnym zakresem podatności trwają, a nie wszystkie techniki zostały jednoznacznie powiązane z konkretnymi poprawkami systemowymi.

Aktualizacja zamiast paniki

Eksperci podkreślają, że Coruna nie działa na najnowszej wersji iOS. Użytkownicy, którzy zaktualizowali swoje urządzenia do iOS 26, są chronieni przed znanymi wariantami ataku. W przypadku starszych modeli, które nie obsługują aktualnego systemu, sytuacja pozostaje bardziej złożona.

Tryb blokady wprowadzony przez Apple w 2022 roku stanowi dodatkową warstwę ochrony dla osób narażonych na zaawansowane ataki, takich jak dziennikarze czy urzędnicy państwowi. Dla większości użytkowników wystarczająca pozostaje regularna aktualizacja systemu.