Как угрозы Coruna и DarkSword меняют безопасность старых iPhone

Ранее эксперты считали, что поиск уязвимостей в iOS и создание эксплойтов требует значительных ресурсов, времени и команды квалифицированных исследователей. Поэтому шпионское ПО и zero‑day уязвимости, неизвестные Apple до их эксплуатации, были редки и применялись лишь в целенаправленных атаках.

Однако за последний месяц специалисты Google, iVerify и Lookout зафиксировали несколько широкомасштабных кампаний hacking, использующих инструменты Coruna и DarkSword, которые indiscriminately нацеливались на пользователей устаревших версий iOS по всему миру. Среди атакующих отмечаются российские шпионы и китайские киберпреступники, действующие через взломанные сайты или поддельные страницы, позволяющие похищать данные с большого числа устройств.

Утечка части этого кода в открытый доступ теперь позволяет любому желающему запускать аналогичные атаки против владельцев iPhone с outdated прошивкой.

Apple ответила вложением значительных средств в новые технологии защиты: внедрение memory‑safe кода в последние модели iPhone и запуск функции Lockdown Mode, направленной против потенциального шпионского ПО. Эти меры призваны повысить безопасность современных смартфонов и укрепить репутацию iPhone как устройства, трудно поддающегося взлому.

Тем не менее большое количество старых iPhone остаётся уязвимым. Появилось два класса пользователей: владельцы новейших iPhone 17 с iOS 26, получившие функцию Memory Integrity Enforcement, блокирующую повреждение памяти, и те, кто всё ещё использует iOS 18 или более ранние версии, подверженные memory‑based атакам и другим эксплойтам.

Исследователи из iVerify и Lookout отмечают, что Coruna и DarkSword ставят под сомнение давно устоявшееся мнение о редкости взломов iPhone. По их мнению, мобильные атаки стали «широко распространёнными», хотя zero‑day эксплойты против актуального ПО по‑прежнему дороги и применяются ограниченно.

Эксперт по безопасности Apple Патрик Уордл указывает, что label «высоко продвинутый» часто маскирует тот факт, что такие возможности уже являются базовыми для многих государств и могут быть приобретены за соответствующую плату.

Кроме того, обнаружены признаки формирования вторичного рынка эксплойтов: после публикации патча брокеры перепродают уже известные уязвимости, получая двойную выгоду. Как отмечает главный исследователь Lookout Justin Альбрехт, это указывает на системную тенденцию, а не на единичный инцидент.