Google Ungkapkan Kerentanan WebKit Apple: Mempengaruhi iOS 13~17.2.1, Sekitar 4.2 Ribu iPhone Menjadi "Mesin ATM"

IT之家 4 Maret mengabarkan bahwa Google hari ini (4 Maret) merilis sebuah postingan yang mengungkapkan paket alat peretasan iPhone bernama kode Coruna, yang dapat mempengaruhi model iPhone yang menjalankan iOS 13 hingga 17.2.1. Bukti terkait menunjukkan bahwa alat ini telah masuk ke tangan mata-mata asing dan pelaku kejahatan siber.

Google menunjukkan bahwa paket alat peretasan ini saat ini hanya efektif untuk versi iOS 13.0 (dirilis September 2019) hingga 17.2.1 (dirilis Desember 2023), dan Apple telah memperbaikinya di versi iOS 18.

Paket Coruna mencakup 5 rantai eksploitasi kerentanan iOS lengkap, dengan total 23 kerentanan yang dieksploitasi. Nilai utamanya terletak pada integrasi berbagai teknik eksploitasi kerentanan yang tidak dipublikasikan dan metode bypass mitigasi.

IT之家 mengutip penjelasan dari postingan tersebut, serta temuan dari Tim Intelijen Ancaman Google (GTIG) sebagai berikut:

• Pada awal tahun 2025, jejak alat ini pertama kali ditemukan, saat digunakan untuk melancarkan serangan yang ditargetkan;
• Pada musim panas tahun yang sama, bukti menunjukkan bahwa organisasi mata-mata UNC6353 memanfaatkan alat ini untuk melancarkan serangan “watering hole”, dengan menyisipkan iframe tersembunyi di situs web yang terkompromi untuk menyebarkan kode berbahaya;
• Pada akhir tahun 2025, UNC6691 dalam operasi skala besar mengerahkan alat yang sama. Pelaku serangan membangun sejumlah besar situs palsu yang melibatkan transaksi keuangan dan cryptocurrency, untuk mengelabui pengguna agar mengaksesnya melalui perangkat iOS, dan dengan memicu kerentanan tersebut, mencuri aset.

Dalam arsitektur teknis, paket Coruna menggunakan kerangka kerja JavaScript untuk identifikasi sidik jari perangkat, kemudian menyebarkan kerentanan eksekusi kode jarak jauh WebKit (RCE) dan bypass kode otentikasi pointer (PAC).

Payload di ujung rantai serangan bernama “PlasmaLoader” (dilacak GTIG sebagai PLASMAGRID), yang akan menyuntikkan ke proses sistem dan memindai aplikasi dompet cryptocurrency di perangkat (seperti MetaMask, Trust Wallet, dll), untuk mencuri frase pemulihan dan kunci pribadi.

Data menunjukkan bahwa hanya dalam serangan yang bersifat menguntungkan, sekitar 42.000 perangkat telah disusupi, digunakan untuk mencuri cryptocurrency dan data privasi. Analisis kode menunjukkan bahwa inti dari alat ini sangat profesional, diduga dikembangkan oleh satu penulis tunggal.

Menanggapi ancaman ini, Google telah menambahkan semua situs web dan domain terkait ke dalam daftar blokir “Penelusuran Aman”. GTIG menegaskan bahwa paket Coruna tidak mampu menembus versi terbaru iOS. Oleh karena itu, pengguna iPhone harus segera memperbarui perangkat mereka ke versi iOS terbaru untuk menghilangkan risiko.