Apple heeft nieuwe beveiligingsadviezen gepubliceerd waarin wordt aangekondigd dat updates beschikbaar zijn voor oudere versies van iOS en iPadOS. Deze updates verhelpen kwetsbaarheden die worden misbruikt door de recent ontdekte Coruna-exploits. Begin maart 2026 maakten onderzoekers van Google en iVerify details bekend over Coruna, een geavanceerde exploitkit die wordt omschreven als ‘nation-state grade’ en gericht is op massale aanvallen binnen het iOS-ecosysteem.

De Coruna-toolkit bevat 23 afzonderlijke exploits, verdeeld over vijf aanvalsketens, en circuleert al geruime tijd in het cyberondergrondse circuit. Hiermee kunnen aanvallers iPhones compromitteren die draaien op iOS-versies van 13.0 (september 2019) tot en met 17.2.1 (december 2023). Experts waarschuwen dat de gebruikte technieken Coruna tot een van de krachtigste mobiele dreigingen van de afgelopen jaren maken. De oorsprong van Coruna ligt bij commerciële surveillancebedrijven, waarna de toolkit werd ingezet door staten voor spionage, onder meer in door Rusland gelinkte aanvallen op Oekraïne. Inmiddels is de toolkit in handen gekomen van financieel gemotiveerde cybercriminelen met banden naar China, die het gebruiken voor grootschalige fraude.

Met Coruna kunnen aanvallers op afstand code uitvoeren op kwetsbare apparaten en volledige toegang tot het systeem verkrijgen, waardoor persistente malware geïnstalleerd kan worden. Apple heeft de onderliggende kwetsbaarheden in updates van de afgelopen twee jaar al verholpen, maar brengt nu ook patches uit voor gebruikers die niet kunnen upgraden naar de nieuwste iOS-versies. Zo verhelpen iOS en iPadOS 15.8.7 vier kwetsbaarheden, waaronder een kernelprobleem en drie WebKit-fouten. De kernelkwetsbaarheid maakt het mogelijk voor een kwaadaardige app om willekeurige code met kernelrechten uit te voeren. Deze patch werd aanvankelijk in iOS 17 in september 2023 uitgerold. De WebKit-kwetsbaarheden kunnen worden misbruikt via speciaal vervaardigde webinhoud en werden eerder opgelost in iOS 17.3, iOS 16.6 en iOS 17.2.

Hoewel Google bevestigt dat actieve exploitatie plaatsvindt en het Amerikaanse cybersecurityagentschap CISA meerdere Coruna-kwetsbaarheden heeft opgenomen in hun Known Exploited Vulnerabilities-catalogus, vermeldt Apple in haar adviezen geen actieve misbruikgevallen. Apple geeft doorgaans aan als zij op de hoogte zijn van actieve exploitatie.