Google divulgue une vulnérabilité WebKit Apple : affectant iOS 13~17.2.1, environ 42 000 iPhone deviennent des « guichets automatiques »

IT之家, le 4 mars, rapporte que Google a publié aujourd’hui (4 mars) un article révélant un kit d’outils de jailbreak pour iPhone, codé sous le nom de Coruna, pouvant affecter les modèles d’iPhone fonctionnant sous iOS 13 à 17.2.1. Des preuves indiquent que cet outil est déjà entre les mains d’espions étrangers et de cybercriminels.

Google précise que ce kit d’outils n’est actuellement efficace que pour les versions d’iOS 13.0 (publiée en septembre 2019) à 17.2.1 (publiée en décembre 2023), et qu Apple a corrigé la vulnérabilité dans la version iOS 18.

Le kit Coruna comprend 5 chaînes complètes d’exploitation de vulnérabilités iOS, totalisant 23 exploits, dont la valeur centrale réside dans l’intégration de plusieurs techniques d’exploitation de vulnérabilités non publiques et de moyens de contourner les mesures d’atténuation.

Selon une introduction de l’article citée par IT之家, voici ce que révèle le groupe d’intelligence des menaces de Google (GTIG) :

• La première détection de cet outil remonte au début de l’année 2025, lorsqu’il a été utilisé pour lancer des attaques ciblées ;
• Au cours de l’été de la même année, des preuves montrent que l’organisation d’espionnage UNC6353 a utilisé ce kit pour mener des “attaques de piégeage” en implantant des iFrames dissimulés sur des sites compromis pour distribuer du code malveillant ;
• Fin 2025, UNC6691 a déployé le même kit lors d’une opération à grande échelle. Les attaquants ont créé de nombreux faux sites liés aux transactions financières et aux cryptomonnaies, incitant les utilisateurs à accéder à ces sites via leurs appareils iOS, afin de voler des actifs en exploitant des vulnérabilités.

Sur le plan technique, le kit Coruna utilise un framework JavaScript pour réaliser une empreinte digitale de l’appareil, puis exploite des vulnérabilités WebKit pour l’exécution de code à distance (RCE) et contourne le code d’authentification de pointeur (PAC).

La charge utile à l’extrémité de la chaîne d’attaque, nommée “PlasmaLoader” (suivi par GTIG sous le nom de PLASMAGRID), s’injecte dans les processus système et scanne les applications de portefeuille de cryptomonnaies sur l’appareil (telles que MetaMask, Trust Wallet, etc.), afin de voler les mnémoniques et les clés privées.

Les données montrent qu’à elle seule, cette attaque à but lucratif a compromis environ 42 000 appareils, utilisés pour voler des cryptomonnaies et des données privées. L’analyse du code indique que cet outil a été développé de manière extrêmement professionnelle, probablement par un seul auteur.

Face à cette menace, Google a ajouté tous les sites web et domaines concernés à la liste de blocage “Navigation sécurisée”. GTIG souligne que le kit Coruna ne peut pas compromettre la dernière version d’iOS. Par conséquent, les utilisateurs d’iPhone doivent immédiatement mettre à jour leur appareil vers la dernière version d’iOS pour éliminer le risque.