Aż 23 exploity na iPhone. Cały szpiegowski arsenał wykorzystywany w realnych atakach.

O temacie informuje Google. W szczególności całość była użyta na pewnym zhackowanym ukraińskim serwisie (w połowie 2025). Schemat działania – użytkownicy, którzy wchodzili na stronę z telefonu byli:

• profilowani (“nie chcemy atakować wszystkich jak leci – za duże ryzyko wykrycia)
• po cichu infekowani (czyli była przejmowana pełna kontrola nad ich telefonami: mikrofon, kamera, SMSy, wiadomości w komunikatorach, pliki, zdjęcia, kontakty – wszystko)

Wskazuje się tutaj zaawansowaną rosyjską grupę hackerską o kryptonimie: UNC6353. Czyli mamy rosyjską grupę atakującą cały świat? ;) Sytuacja jest nieco bardziej skomplikowana, bo oryginalne badanie wskazuje również chińską grupę wykorzystującą to samo narzędzie (z exploitami). Prawdopodobnie więc jest to paczka na sprzedaż (z której korzystają również komercyjnie dostawcy telefonowego spyware).

Google wykryło oraz w pełni odtworzyło aż 5 pełnych oraz różnych ścieżek exploitacji (dających pełen dostęp do telefonu atakującym – w zasadzie od zera). W tych 5 ścieżkach użyto 23 logicznie połączonych exploitów / podatności w iOS. O co chodzi z tymi ‘ścieżkami exploitacji’? Ofiara klika przykładowo w zainfekowany link i w tle (na telefonie) uruchamia się cała seria exploitów dających po chwili atakującemu pełen dostęp do telefonu. W tle przełamywane są kolejne zabezpieczenia telefonu.

W paczce znajdują się exploity na iOS od 13(!) aż do 17.2.1, ale w nowszych wersjach pakietu Coruna dostępne są zapewnie exploity również na nowsze systemy iOS. Google w dość niepokojący sposób komentuje to tak:

multiple threat actors have now acquired advanced exploitation techniques that can be re-used and modified with newly identified vulnerabilities.

Na koniec Google zaznacza z pewnym podziwem, że całość kodu wygląda niezmiernie profesjonalnie (“exploit kit is extremely well engineered”).

Co robić?

• Aktualizuj na bieżąco telefon, ale i to czasem nie pomaga (podatności klasy 0day)
• Im nowszy model iPhone tym trudniej go zainfekować. Nie wynika to tylko z samych zabezpieczeń w iOS; nowsze modele często posiadają dodatkowe uzupełnienia sprzętowe chroniące przed atakami
• Włącz na iPhone lockdown mode (tryb blokady). Chroni to również przed bardzo wieloma podatnościami 0days

Jak działa ‘tryb blokady‘? Od strony użytkownika to tylko jeden przełącznik w ustawieniach. Od strony technicznej wyłącza on na telefonie mniej używane funkcje, które jednak są często używane przez atakujących do otrzymania dostępu na iPhone.

~ms