Apple advierte de ciberataques en iOS desactualizados: exploits Coruna y DarkSword
Apple está enviando notificaciones críticas a los propietarios de dispositivos que ejecutan iOS 13, 14 y 17, así como iPadOS. Los mensajes de la app Ajustes advierten sobre ataques en curso que utilizan exploits Coruna y DarkSword. Estas cadenas de exploits atacan vulnerabilidades en versiones desde iOS 13 hasta 17.2.1, permitiendo acceso remoto a través de enlaces o sitios web maliciosos.
Mecanismos de ataque y alcance
Las notificaciones aparecen en la pantalla de bloqueo como alertas de Software Crítico. Apple ha confirmado ataques en iOS 17.0 y anteriores. Los dispositivos afectados son aquellos que no han recibido los parches del 11 de marzo: iOS 15.8.7, iOS 16.7.15 y versiones equivalentes de iPadOS.
Los exploits Coruna y DarkSword se activan con interacción mínima:
- Hacer clic en un enlace malicioso.
- Visitar un sitio web comprometido.
Esto lleva al compromiso del dispositivo, extracción de datos y posible acceso persistente.
Para iOS 13/14, se requiere una actualización intermedia a iOS 15, seguida del parche. Las versiones de iOS 15–17 con las últimas actualizaciones están protegidas por defecto.
Recomendaciones de protección
Apple recomienda los siguientes pasos para minimizar riesgos:
- Actualizar el SO: Instalar iOS 15.8.7+ o iOS 16.7.15+ a través de Ajustes > General > Actualización de software.
- Modo de bloqueo: Activar en Ajustes > Privacidad y seguridad > Modo de bloqueo (disponible en iOS 16+). Restringe funciones para reducir la superficie de ataque.
- Evitar enlaces sospechosos: No abrir URLs desconocidas en Safari o iMessage.
- Monitorear notificaciones: Verificar alertas del sistema en la pantalla de bloqueo.
| Versión de iOS/iPadOS | Estado después del parche del 11 de marzo | Acciones requeridas |
|-------------------|-----------------------------|---------------------|
| 13–14.x | Vulnerable | Actualizar a 15, luego parche |
| 15.x (hasta 15.8.7) | Vulnerable | Instalar 15.8.7+ |
| 16.x (hasta 16.7.15)| Vulnerable | Instalar 16.7.15+|
| 17.0–17.2.1 | Vulnerable | Actualizar a 17.2.2+|
| 15–17 (últimas) | Protegido | Mantener actualizaciones al día |
Detalles técnicos de los exploits
Coruna y DarkSword son cadenas de exploits zero-click o one-click que atacan vulnerabilidades en WebKit y el kernel. Eluden el sandboxing de Safari, escalando privilegios a root. El análisis revela el uso de CVEs en JavaScriptCore y drivers IOKit.
Los desarrolladores deberían considerar:
- Probar WebView en versiones vulnerables de iOS.
- Aislar solicitudes de red en las apps.
- Registrar ejecuciones sospechosas de JS.
El Modo de bloqueo deshabilita JIT en WebKit, bloquea adjuntos de mensajes y restringe conexiones peer-to-peer, neutralizando muchos vectores de ataque.
Puntos clave
- Exploits activos: Coruna y DarkSword están activos en iOS 13–17.2.1; las actualizaciones del 11 de marzo cierran los zero-days.
- Amplio alcance: Notificaciones para todos los dispositivos vulnerables; iOS 13/14 requieren actualizaciones escalonadas.
- Modo de bloqueo como alternativa: Efectivo contra ataques dirigidos, pero reduce la usabilidad.
- Alertas proactivas: Apple monitorea inteligencia de amenazas en tiempo real.
- Versiones más recientes protegidas: iOS 15–17 parcheados; enfoque en dispositivos legacy.
Desarrolladores de nivel medio/senior: Integrar WKWebView con bloqueadores de contenido, monitorear logs ATS para anomalías. Para empresas, imponer MDM con actualizaciones obligatorias y Modo de bloqueo.
— Editorial Team
Aún no hay comentarios.