Alvorlig iOS-exploit-kit: Slik sjekker du om du er utsatt

Hva skjedde

Google Threat Intelligence Group (GTIG) har identifisert et iOS-exploit-kit kalt «Coruna» som ifølge Google har rammet iPhone-modeller på iOS 13.0 til iOS 17.2.1. Google beskriver at kitet inneholdt flere komplette exploit-kjeder og et større antall enkeltsårbarheter. GTIG kobler også bruken til ulike typer trusselaktører og kampanjer over tid, og peker på at avanserte utnyttelser kan spre seg videre i et «andrehåndsmarked» for zero-days.

Hva det betyr

Dette er en påminnelse om to ting: For det første at «jeg har en iPhone, derfor er jeg trygg» aldri har vært en garanti – særlig ikke hvis du ligger langt bak på iOS-versjoner. For det andre at eldre iOS-versjoner ikke bare har enkeltfeil, men kan bli mål for komplette angrepskjeder som er laget for å omgå sikkerhetsmekanismer.

Det viktige for vanlige brukere er ikke å forstå alle tekniske detaljer, men å plassere seg selv i risikobildet: Er du på en gammel iOS-versjon? Har du en eldre iPhone som kanskje ikke kan oppdateres like langt? Da øker sannsynligheten for at du blir hengende igjen på «kjent sårbart» område over tid.

Min vurdering

Det mest ubehagelige i Googles beskrivelse er ikke at noen fant sårbarheter – det skjer alltid – men hvordan de beskriver spredningen: fra målrettede operasjoner til «watering hole»-angrep og videre til bredere, mer økonomisk motiverte kampanjer. Når verktøyene først finnes, har de en tendens til å flytte seg dit volumet (og pengene) er.

For Norge er dette ekstra relevant fordi mange iPhones lever lenge. Vi har et stort bruktmarked, og det er ikke uvanlig at en iPhone går i arv i familien. Resultatet blir ofte at noen ender opp med en telefon som kjører «gammel, men fungerende» iOS – og det er akkurat den typen installbase exploit-kit som Coruna lever av. Det som derimot er bra er at de fleste iPhoner får oppdateringer i syv eller flere år etter lanseringen av modellen, noe som gjør at det er relativt enkelt å holde dem oppdatert.

Det jeg ikke kan slå fast ut er hvilke konkrete iPhone-modeller som er mest berørt, eller om det finnes en spesifikk «fikset i iOS-versjon X.Y» i etterkant. Kilden sier bare at området som er målrettet strekker seg til iOS 17.2.1. Derfor må rådene være generelle: hold deg oppdatert og reduser angrepsflate.

Slik gjør du det

Sjekk iOS-versjonen din: Gå til Innstillinger → Generelt → Om → iOS-versjon. Notér versjonsnummeret.
Oppdater hvis du kan: Gå til Innstillinger → Generelt → Programvareoppdatering. Installer siste tilgjengelige iOS-versjon for din iPhone.
Hvis du ikke får nyere iOS: Det betyr typisk at enheten din er gammel nok til å ha stoppet på et tak. Da bør du vurdere risikoen ved å bruke den til BankID, jobbmail og sensitiv kommunikasjon.
Stram inn nettleser/lenke-vaner: Googles tekst nevner «watering hole»-angrep (kompromitterte nettsteder). Vær ekstra skeptisk til lenker fra ukjente avsendere og sider du ikke vanligvis bruker.
Start på nytt etter oppdatering og rydd i profiler/VPN (hvis relevant): Hvis du bruker jobb-/skoleprofiler, VPN eller MDM-løsninger, sørg for at de er legitime. Fjern ting du ikke kjenner igjen under Innstillinger → Generelt → VPN og enhetsadministrering (om menyen finnes).
Hvis du mistenker kompromittering: Ta sikkerhetskopi, oppdater, og vurder en full nullstilling. Ved høy risiko (journalist, aktivist, offentlig rolle): kontakt arbeidsgiver/IT eller en sikkerhetsfaglig ressurs før du gjør store endringer, slik at spor kan bevares. (Kilden beskriver avanserte aktører i enkelte faser.)

A person holding a cell phone in their hand Foto: Jakub Żerdzicki / Unsplash