iPhone-gebruikers moeten oppassen voor uiterst gevaarlijke Coruna-aanval
Een grootschalige iOS‑aanval zorgt al een tijdje voor opschudding. Onderzoekers van iVerify en Google hebben een geavanceerd exploit‑pakket ontdekt dat iPhones ongemerkt kon infecteren. Het enige dat je moet doen om gevaar te lopen is een gehackte website bezoeken. Er zijn intussen al tienduizenden slachtoffers gemaakt. Vooral wie nog een oudere versie van iOS gebruikt, loopt risico. Over de oorsprong van de malware is er nog onenigheid, over de aanpak niet: zorg gewoon dat je iPhone up to date is.
De Coruna-toolkit verenigt vijf krachtige exploits die meer dan twintig kwetsbaarheden in iOS 13 tot iOS 17.2.1 kunnen misbruiken. Hij richt zich op de WebKit-browserengine waarop Safari draait. Als potentieel slachtoffer word je dus niet verleid om malware te downloaden, want de toolkit installeert die volledig automatisch. Eerst checkt hij of de Lockdown Mode actief is. Is dat het geval, dan stopt de aanval. Volgens iVerify konden de aanvallers al bij 42.000 iPhones onder meer cryptowallets, foto’s en e‑mails buitmaken.
Malware van Amerikaanse oorsprong?
Er is nog een pikant detail aan deze aanvalsmethode. De onderzoekers zien namelijk sterke aanwijzingen dat de toolkit ooit door of voor de Amerikaanse overheid is ontwikkeld. Ze leiden dat af uit het feit dat de code is geschreven door mensen die Engels als moedertaal hebben. Bovendien zagen ze delen van code die eerder zijn teruggevonden bij een hackoperatie uit 2023. Die operatie schreef Rusland toen toe aan de NSA, de Amerikaanse inlichtingendiensten. Hoe het pakket vervolgens in criminele handen terechtkwam, blijft een open vraag.
Onderzoekers vermoeden dat Russische inlichtingendiensten Coruna eerst gebruikten tegen Oekraïense doelwitten, waarna een cybercriminele groep het overnam om Chinese gebruikers aan te vallen. Dat kadert volledig in een bredere trend waarin er een bloeiende zwarte markt is voor zero‑day‑exploits. Daardoor zien we gerecycleerde aanvalsmethodes die in een andere verpakking terug beschikbaar komen. Onlangs is bijvoorbeeld nog een Amerikaanse overheidsaannemer veroordeeld. Hij verkocht hackingtools aan een Russische broker.
Of toch iets nieuws?
Boris Larin, de hoofdonderzoeker van Kaspersky, reageerde dan weer dat twee exploits in de Coruna-toolkit inderdaad dezelfde kwetsbaarheden misbruiken als de zero-days in de hackoperatie uit 2023. Die bugs geven een aanvaller volledige controle over de diepste laag van het iOS-systeem en kunnen de beveiliging van de Apple-hardware omzeilen. Dat betekent echter niet dat er voldoende bewijs is dat deze toolkit van dezelfde auteur komt als toen. Een ander team kan volledig zelfstandig een gelijkaardige code hebben geschreven.
Bovendien heeft Apple die kwetsbaarheden gepatcht tot en met iOS 15.7. Jammer genoeg zijn er veel mensen die hun iPhone niet updaten. Met iOS 26 zit je uiteraard veilig voor deze aanvalsmethode, maar dat ben je ook al met iOS 17.2.1. Als er iets is dat je uit deze massale aanval moet leren, dan is het wel dat updaten cruciaal is voor de veiligheid van je smartphone.
Van nature zijn iPhones namelijk veilig, omdat het een gesloten ecosysteem is. Als iemand er echter in slaagt om die beveiligingsmuur te omzeilen, dan zitten alle cybersecuritymensen met de handen in het haar.
