Google divulga vulnerabilidade WebKit da Apple: afeta iOS 13~17.2.1, cerca de 4,2 mil iPhones convertidos em "caixas automáticos"

IT之家 4 de março — A Google publicou hoje (4 de março) um artigo revelando um kit de ferramentas de jailbreak para iPhone, com o código Coruna, que pode afetar modelos de iPhone que executam iOS 13 a 17.2.1. Evidências indicam que essas ferramentas já caíram nas mãos de espionagem estrangeira e criminosos cibernéticos.

A Google afirmou que o kit de ferramentas Coruna atualmente funciona apenas para as versões iOS 13.0 (lançada em setembro de 2019) até 17.2.1 (lançada em dezembro de 2023), sendo que a Apple já corrigiu essa vulnerabilidade na versão iOS 18.

O kit Coruna inclui uma cadeia completa de exploração de 5 vulnerabilidades do iOS, totalizando 23 exploits, cujo principal valor está na integração de várias técnicas de exploração de vulnerabilidades não públicas e métodos de evasão de mitigação.

A IT之家, citando o artigo, compartilhou as descobertas do Grupo de Inteligência de Ameaças da Google (GTIG):

• Em início de 2025, foi detectado pela primeira vez o rastreamento do kit, utilizado para ataques direcionados;
• No verão do mesmo ano, há evidências de que a organização de espionagem UNC6353 usou o kit para realizar ataques “watering hole”, distribuindo código malicioso por meio de iFrames ocultos em sites comprometidos;
• No final de 2025, a UNC6691 implantou o mesmo kit em uma operação em larga escala. Os atacantes criaram muitos sites falsos relacionados a transações financeiras e criptomoedas, induzindo usuários a acessá-los com dispositivos iOS, explorando vulnerabilidades para roubar ativos.

No aspecto técnico, o Coruna utiliza frameworks JavaScript para reconhecimento de impressões digitais do dispositivo, seguido por ataques de bypass de vulnerabilidades WebKit de execução remota de código (RCE) e autenticação de ponteiros (PAC).

O payload final na cadeia de ataque, chamado “PlasmaLoader” (rastreamento do GTIG como PLASMAGRID), injeta-se nos processos do sistema e escaneia aplicativos de carteiras de criptomoedas no dispositivo (como MetaMask, Trust Wallet), roubando frases-semente e chaves privadas.

Dados indicam que, apenas em ataques com fins lucrativos, cerca de 42 mil dispositivos foram comprometidos, utilizados para roubar criptomoedas e dados privados. A análise do código revela um desenvolvimento altamente profissional, provavelmente por um único autor.

Para combater essa ameaça, a Google adicionou todos os sites e domínios relacionados à lista de bloqueio de “Navegação Segura”. O GTIG enfatiza que o kit Coruna não consegue invadir as versões mais recentes do iOS. Portanto, os usuários de iPhone devem atualizar imediatamente seus dispositivos para a versão mais recente do iOS para eliminar o risco.