Apple warnt vor Cyberangriffen auf veraltete iOS-Versionen: Coruna- und DarkSword-Exploits
Apple versendet kritische Benachrichtigungen an Besitzer von Geräten mit iOS 13, 14 und 17 sowie iPadOS. Meldungen aus der Einstellungen-App warnen vor laufenden Angriffen unter Nutzung der Coruna- und DarkSword-Exploits. Diese Exploit-Ketten zielen auf Schwachstellen in Versionen von iOS 13 bis 17.2.1 ab und ermöglichen Fernzugriff über bösartige Links oder Websites.
Angriffsmechanismen und Reichweite
Benachrichtigungen erscheinen auf dem Sperrbildschirm als Kritische-Software-Warnungen. Apple hat Angriffe auf iOS 17.0 und früher bestätigt. Betroffene Geräte sind jene, die die Patches vom 11. März nicht erhalten haben: iOS 15.8.7, iOS 16.7.15 und entsprechende iPadOS-Versionen.
Die Coruna- und DarkSword-Exploits werden durch minimale Interaktion ausgelöst:
- Klicken auf einen bösartigen Link.
- Besuch einer kompromittierten Website.
Das führt zur Kompromittierung des Geräts, Datenextraktion und potenziell dauerhaftem Zugriff.
Für iOS 13/14 ist ein Zwischenschritt-Update auf iOS 15 erforderlich, gefolgt vom Patch. iOS-15–17-Versionen mit den neuesten Updates sind standardmäßig geschützt.
Schutzempfehlungen
Apple empfiehlt folgende Schritte, um Risiken zu minimieren:
- OS aktualisieren: iOS 15.8.7+ oder iOS 16.7.15+ über Einstellungen > Allgemein > Softwareupdate installieren.
- Lockdown-Modus: Aktivieren unter Einstellungen > Datenschutz & Sicherheit > Lockdown-Modus (verfügbar ab iOS 16+). Er beschränkt Funktionen, um die Angriffsfläche zu verringern.
- Verdächtige Links vermeiden: Unbekannte URLs nicht in Safari oder iMessage öffnen.
- Benachrichtigungen überwachen: Systemwarnungen auf dem Sperrbildschirm prüfen.
| iOS/iPadOS-Version | Status nach Patch vom 11. März | Erforderliche Maßnahmen |
|-------------------|-------------------------------|-------------------------|
| 13–14.x | Angreifbar | Auf 15 aktualisieren, dann patchen |
| 15.x (bis 15.8.7) | Angreifbar | 15.8.7+ installieren |
| 16.x (bis 16.7.15)| Angreifbar | 16.7.15+ installieren|
| 17.0–17.2.1 | Angreifbar | Auf 17.2.2+ aktualisieren|
| 15–17 (neueste) | Geschützt | Updates aktuell halten |
Technische Details der Exploits
Coruna und DarkSword sind Zero-Click- oder One-Click-Exploit-Ketten, die WebKit- und Kernel-Schwachstellen angreifen. Sie umgehen Safaris Sandboxing, eskalieren Berechtigungen auf Root-Niveau. Die Analyse zeigt die Nutzung von CVEs in JavaScriptCore und IOKit-Treibern.
Entwickler sollten Folgendes berücksichtigen:
- Testen von WebView auf anfälligen iOS-Versionen.
- Isolieren von Netzwerkanfragen in Apps.
- Protokollieren verdächtiger JS-Ausführungen.
Der Lockdown-Modus deaktiviert JIT in WebKit, blockiert Nachrichtenanhänge und beschränkt Peer-to-Peer-Verbindungen, wodurch viele Angriffsvektoren neutralisiert werden.
Wichtige Punkte
- Aktive Exploits: Coruna und DarkSword sind auf iOS 13–17.2.1 live; Updates vom 11. März schließen die Zero-Days.
- Breite Reichweite: Benachrichtigungen für alle anfälligen Geräte; iOS 13/14 erfordern gestaffelte Updates.
- Lockdown-Modus als Fallback: Wirksam gegen gezielte Angriffe, reduziert aber die Bedienbarkeit.
- Proaktive Warnungen: Apple überwacht Bedrohungs-Intelligence in Echtzeit.
- Neueste Versionen geschützt: iOS 15–17 gepatcht; Fokus auf Legacy-Geräte.
Mid-/Senior-Level-Entwickler: WKWebView mit Content-Blockern integrieren, ATS-Logs auf Anomalien überwachen. Für Unternehmen MDM mit obligatorischen Updates und Lockdown-Modus durchsetzen.
— Editorial Team
Noch keine Kommentare.