Was ist das Coruna iOS Exploit Framework?
Im März 2026 haben Kaspersky-Sicherheitsexperten eine neue Bedrohung für iPhones entdeckt: das Coruna iOS Exploit Framework. Es handelt sich dabei um ein hochentwickeltes Werkzeug, das Angreifende nutzen können, um iPhones heimlich zu infizieren und sensible Daten zu stehlen – oft ohne dass die Nutzer etwas davon bemerken.
Das Besondere und gleichzeitig Beunruhigende an Coruna: Es ist keine Erfindung aus dem Nichts, sondern eine Weiterentwicklung einer bereits bekannten Spionage-Waffe.
Die Verbindung zu „Operation Triangulation“
Coruna steht in direktem Zusammenhang mit der berüchtigten „Operation Triangulation“, die erstmals 2023 entdeckt wurde. Damals nutzten staatliche Akteure mehrere Zero-Day-Schwachstellen, um gezielt bestimmte iPhone-Nutzer zu überwachen.
Laut Untersuchungen von Kaspersky ist der Kernel-Exploit für zwei der Schwachstellen in Coruna eine aktualisierte Version desselben Codes, der bereits bei Operation Triangulation verwendet wurde. Konkret nutzt Coruna die Sicherheitslücken CVE-2023-32434 und CVE-2023-38606 – beide wurden ursprünglich als Zero-Day-Exploits in der Triangulation-Kampagne eingesetzt.
Warum ist Coruna besonders gefährlich?
Was Coruna von früheren Angriffen unterscheidet, ist sein Masseneinsatz-Potenzial:
| Merkmal | Operation Triangulation (2023) | Coruna (2026) |
|---|---|---|
| Zielgruppe | Hochgezielte Einzelpersonen | Massenangriffe auf viele Nutzer |
| Akteure | Staatliche Spionageeinheiten | Kriminelle Gruppen |
| Verbreitung | Sehr begrenzt | Über kompromittierte Websites |
| Anzahl Exploits | 4 Schwachstellen | 23 Exploits in 5 Ketten |
Die Forscher betonen: Dies markiert den ersten beobachteten Massenangriff auf iOS-Geräte durch eine kriminelle Gruppe. Während frühere Spyware-Werkzeuge wie Pegasus oder Triangulation nur für hochspezialisierte staatliche Operationen verfügbar waren, scheint Coruna nun breiter zugänglich zu sein.
Wie funktioniert der Angriff?
Coruna enthält fünf vollständige iOS-Exploit-Ketten mit insgesamt 23 einzelnen Exploits. Die Angriffsmethode lässt sich vereinfacht so beschreiben:
- Infizierte Website: Ein Nutzer besucht eine kompromittierte oder gefälschte Website
- Automatische Ausnutzung: Über den Safari-Browser werden Sicherheitslücken im WebKit-Ausgabemodul ausgenutzt
- Privilegien-Eskalation: Der Angreifer gewinnt höhere Zugriffsrechte auf dem Gerät
- Datenexfiltration: Sensible Informationen werden abgerufen und an die Angreifer gesendet
Besonders besorgniserregend: Der Angriff kann ohne Interaktion des Nutzers erfolgen – ein sogenannter „Zero-Click“-Angriff.
Welche Geräte sind betroffen?
Coruna betrifft iPhones mit iOS-Versionen 13 bis 17.2.1. Das Framework wurde aktualisiert, um auch neuere Prozessoren wie den A17, M3, M3 Pro und M3 Max zu unterstützen.
Apple hat jedoch bereits Sicherheitsupdates veröffentlicht, die diese Schwachstellen schließen.
iOS sofort aktualisieren
Apple veröffentlichte bereits Sicherheitsupdates für ältere iOS-Versionen. Wenn Ihr iPhone auf dem neuesten Stand ist, sind Sie bereits geschützt.
Gehören Sie eine Risikogruppe an, aktivieren Sie den Lockdown-Mode. Dieser blockiert viele Angriffsvektoren, selbst auf nicht aktualisierter Software.
Einstellungen → Datenschutz & Sicherheit → Lockdown Mode
Nutzen Sie Safari-Safe-Browsing. Google fügte bekannte Coruna-Domains bereits zur Blacklist hinzu, sodass Safari vor gefährlichen Seiten warnt.
Klicken Sie nicht auf verdächtige Links in Nachrichten oder E-Mails. Augen auf beim Klick!
Verwenden Sie starke Passwörter in Verbindung mit 2FA.
[https://securelist.com/coruna-framework-updated-operation-triangulation-exploit/119228/]