Google avslöjar Iphone-verktyg som tar över mobiler via 23 säkerhetshål

Googles säkerhetsforskare uppger att ett kraftfullt verktygspaket för intrång i Iphone, som först sågs i början av 2025 i en spionprograminsats för en statlig kund, därefter har dykt upp i angreppskampanjer som drivs av en rysk spiongrupp och av en ekonomiskt motiverad angripare i Kina. Verktygslådan, som kallas Coruna, kan enligt TechCrunchs redogörelse för Googles fynd ta över Iphone som kör Ios 13 till och med 17.2.1 genom att kedja samman 23 sårbarheter och utlösa en av fem angreppsvägar. Iverify, ett företag inom mobil säkerhet som har återskapat paketet genom omvänd ingenjörskonst, säger sig se tecken på att ramverket ursprungligen togs fram för en amerikansk statlig kund.

Den tekniska detaljnivån är viktig därför att Coruna inte är en enskild brist, utan en paketerad förmåga: en uppsättning angrepp byggda för att snabbt kunna sättas in mot verkliga mål, bland annat via så kallade ”vattenhåls”-webbplatser som smittar besökare. När ett sådant paket väl finns blir det en tillgång som kan kopieras, bytas och återanvändas långt efter att den ursprungliga operationen avslutats. Googles tidslinje – först statlig användning, sedan en statsanknuten rysk grupp, därefter vinstdriven brottslighet – visar hur samma förmåga kan vandra mellan helt olika aktörer utan någon offentlig överlämning.

Marknadsmekaniken är okomplicerad. En fungerande kedja mot Iphone är dyr att utveckla och värdefull att hålla hemlig, vilket gör att den hamstras – inom myndigheter, hos underleverantörer och hos mellanhänder – i stället för att rapporteras till Apple så att den kan tätas. Den hamstringen skapar en andrahandsmarknad: om ett verktyg läcker kan det säljas vidare som ”begagnad” intrångsförmåga till kriminella som kan göra pengar på bedrägerier, utpressning eller övertagande av konton, och därmed utvinna värde ur forskning de inte själva bekostat. Iverify varnar för att ”ju mer utbredd användningen är, desto säkrare är det att en läcka inträffar”, en poäng som skärps av antalet rörliga delar – 23 sårbarheter – som krävs för att hålla Coruna fungerande.

Mönstret är bekant. År 2017 upptäckte den amerikanska signalspaningsmyndigheten att dess verktyg för intrång i Windows hade stulits; bakdörren Eternalblue kom senare att driva utpressningsvågen Wannacry. TechCrunch nämner också ett senare brottsfall där en tidigare chef vid försvarsentreprenören L3harris Trenchant dömdes efter att ha sålt intrångsverktyg till en mäklare som var känd för att arbeta med den ryska staten, och där åklagare hävdade att verktygen skulle ha kunnat äventyra miljontals apparater.

Coruna hamnar samtidigt mitt i ett offentligt förtroendeproblem kring konsumentsäkerhet. Apples säkerhetsmodell för Iphone marknadsförs som ett skäl att köpa apparaten, men den faktiska risken för användarna formas av huruvida avancerade intrångskedjor tyst samlas på hög och cirkulerar, i stället för att avvecklas genom rapportering och åtgärder. Samma hemlighetsmakeri som gör ett intrång användbart för en statlig målsökare gör det också svårt för leverantören – och allmänheten – att veta när förmågan har läckt ut.

Google uppger att Coruna kan ta över apparater enbart genom att locka ett mål till en skadlig webbplats. För Iphoneägare som kör äldre programvara blir skillnaden mellan statlig övervakning och vanlig nätbrottslighet allt mer en fråga om vem som senast hittade intrångskedjan.