Scurgerile de unelte Coruna și DarkSword expun milioane de iPhone cu iOS vechi la atacuri cu spyware, în ciuda noilor protecții din iOS 26

Mult timp, specialistii in securitate iPhone au presupus că găsirea vulnerabilităților și dezvoltarea de exploatări pentru iOS este un proces extrem de dificil, care necesită mult timp, resurse importante și echipe de cercetători foarte bine pregătiți pentru a pătrunde prin multiplele straturi de apărare ale sistemului. Din acest motiv se credea că programele spion pentru iPhone și vulnerabilitățile de tip zero‑day – cele necunoscute producătorului înainte de a fi exploatate – sunt rare și folosite doar în atacuri limitate, strict țintite, așa cum susține și Apple.

În ultima lună însă, cercetători în securitate cibernetică de la Google, iVerify și Lookout au documentat mai multe campanii de hacking la scară largă, în care au fost folosite instrumente cunoscute sub numele de Coruna și DarkSword. Acestea au vizat aproape nediscriminatoriu victime din întreaga lume care nu rulează cea mai recentă versiune de software Apple. Printre actorii implicați în aceste atacuri se numără spioni ruși și infractori cibernetici chinezi, care își atacă țintele prin site‑uri compromise sau pagini false, obținând astfel posibilitatea de a fura datele de pe telefoanele unui număr mare de utilizatori.

Acum, o parte dintre aceste instrumente au ajuns să fie difuzate online, iar codul lor poate fi preluat de oricine pentru a lansa cu ușurință atacuri proprii împotriva utilizatorilor de dispozitive Apple care rulează versiuni mai vechi de iOS.

Apple a investit resurse semnificative în tehnologii noi de securitate și dezvoltare, inclusiv introducerea de cod „memory‑safe” pentru cele mai recente modele de iPhone și lansarea unor funcții precum Lockdown Mode, concepute special pentru a contracara potențiale atacuri cu spyware. Scopul este dublu: pe de o parte să facă modelele moderne de iPhone mult mai sigure, pe de altă parte să întărească afirmația că un iPhone este foarte greu de spart.

Cu toate acestea, numeroase iPhone‑uri mai vechi, care nu mai sunt actualizate, rămân acum ținte mai ușoare pentru spioni și infractori cibernetici care folosesc programe spion.

În prezent se conturează practic două „clase” de securitate pentru utilizatorii de iPhone.

O primă categorie este formată din cei care folosesc cea mai recentă versiune iOS 26, instalată pe modelele de iPhone 17 lansate în 2025. Acești utilizatori beneficiază de o funcție nouă de securitate numită Memory Integrity Enforcement, proiectată să blocheze erorile de corupere a memoriei – unele dintre cele mai des exploatate vulnerabilități în atacurile cu spyware și în tentativele de deblocare a telefoanelor. Conform Google, DarkSword s‑a bazat masiv pe astfel de buguri de corupere a memoriei.

A doua categorie o reprezintă utilizatorii de iPhone care rulează încă versiunea anterioară a sistemului mobil Apple, iOS 18, sau chiar ediții mai vechi. Aceste versiuni au fost, în trecut, vulnerabile la atacuri bazate pe memoria dispozitivului, precum și la alte tipuri de exploatări, iar multe dintre aceste puncte slabe pot fi încă valorificate.

Descoperirea instrumentelor Coruna și DarkSword indică faptul că atacurile bazate pe exploatarea memoriei ar putea continua să afecteze utilizatorii de iPhone și iPad mai vechi, care rămân în urmă față de modelele noi, mai sigure din punct de vedere al gestionării memoriei.

Experții de la iVerify și Lookout – două companii de securitate cibernetică ce vând soluții comerciale de protecție pentru dispozitive mobile – avertizează că apariția Coruna și DarkSword ar putea pune sub semnul întrebării vechea presupunere că atacurile asupra iPhone sunt rare.

Co‑fondatorul iVerify, Matthias Frielingsdorf, a declarat pentru TechCrunch că atacurile mobile sunt în prezent „răspândite”, însă a subliniat că exploatările care se bazează pe vulnerabilități zero‑day în cele mai noi versiuni de software „vor fi întotdeauna taxate la un preț premium”, ceea ce sugerează că astfel de instrumente nu vor fi folosite la scară foarte largă împotriva publicului general.

Expertul în securitate Apple Patrick Wardle a explicat că una dintre probleme este faptul că atacurile asupra iPhone‑urilor sunt numite rare sau sofisticate doar pentru că sunt documentate foarte rar. În realitate, spune el, este posibil ca multe astfel de atacuri să existe, dar să nu fie detectate sau raportate la timp.

„Calling them ‘highly advanced’ is a bit like calling tanks or missiles advanced,” Wardle told TechCrunch. „It’s true, but it misses the point. That’s simply the baseline capability at that level, and all (most) nations have them (or can acquire them for the right price).”

Un alt aspect problematic evidențiat de cazurile Coruna și DarkSword este dezvoltarea unei piețe „second‑hand” tot mai active, care creează stimulente financiare importante „pentru dezvoltatorii de exploatări și brokerii individuali, astfel încât aceștia să fie plătiți practic de două ori pentru aceeași exploatare”, după cum explică Justin Albrecht, cercetător principal la Lookout.

Mai ales când vulnerabilitatea inițială este remediată printr‑un patch, devine logic ca brokerii să încerce să revândă exploit‑ul înainte ca toți utilizatorii să‑și actualizeze dispozitivele. Astfel, codul continuă să circule și după ce producătorul a publicat corecția oficială.

„This isn’t a one-time event, but rather a sign of things to come,” a spus Albrecht pentru TechCrunch, sugerând că aceste scurgeri și revânzări de instrumente de atac vor deveni tot mai frecvente în viitor.