Araştırmalara Dön
Advisory

Apple Uyardı: Eski iPhone'lar Coruna ve DarkSword Açıklarına Karşı Savunmasız

Eresus Security Research TeamYazar
1 Nisan 2026
2 dk okuma

Apple tarafından yapılan kritik bir güvenlik uyarısı, eski ve güncellenmemiş iOS cihazlarının şu anda aktif "zero-click" (sıfır tıklama) ve "one-click" (tek tıklama) zafiyetleriyle karşı karşıya olduğunu ortaya koydu. Siber güvenlik araştırmacıları, Coruna ve DarkSword adlı iki gelişmiş mobil istismar setinin (exploit kit), özellikle ana yazılım güncellemelerini almayı bırakan cihazlara yönelik kitlesel saldırılarda kullanıldığını tespit etti.

Bu araçların öncelikli amacı Safari (WebKit) tarayıcı motorunu ve arka planda çalışan sistem servislerini zafiyete uğratarak cihazı tamamen ele geçirmektir.

Eresus Security olarak, özellikle kurumsal ağlara bağlanan eski nesil (BYOD uyumlu) cihazlar için tehdit yüzeyinin acilen değerlendirilmesini tavsiye ediyoruz.

Exploit (İstismar) Setlerini Anlamak

Yeni nesil iOS (19+) sürümleri sürekli olarak savunma güncellemeleri alırken, eski cihazlar genellikle sadece en kritik anlarda yama alır. Coruna ve DarkSword, tam olarak bu güncellenmemiş cihazların arka kapılarına odaklanıyor.

  1. Coruna (Sessiz Web İstismarı): Kapatılmamış WebKit zafiyetlerinden faydalanan Coruna, kurbanın sadece zararlı reklam (malvertising) barındıran veya önceden hacklenmiş yasal bir web sayfasına girmesiyle çalışır. Sayfa yüklendiğinde zararlı kod Safari korumalarını (sandbox) aşarak sistemde kod yürütür. Kayıtlı parolaları, iCloud oturum tokenlarını ve iMessage veri tabanlarını sızdırmayı hedefler.
  2. DarkSword (Zero-Click Sistem Tehdidi): DarkSword ise hiçbir etkileşim (zero-click) gerektirmemesiyle öne çıkıyor. Eski nesil ağ veya mesajlaşma ayrıştırma servislerini hedeflediği belirtilen bu tehdit, cihaza gönderilen basit bir ağ paketi veya özel hazırlanmış bir medya içeriğiyle bellek bozulmasına (memory corruption) yol açarak anında "root" (yönetici) yetkisi kazanılmasını sağlayabiliyor.

Kurumsal Ağlar İçin Taşıdığı Dev Risk

Coruna veya DarkSword tarafından ele geçirilmiş bir cihaz kurumsal ağa girdiğinde, kalıcı tehdit (APT) riski taşır:

  • Cihaza bağlı Exchange veya Microsoft 365 e-posta hesapları dışarı sızdırılabilir.
  • Cihaz kameraları ve mikrofonları arka planda ortam dinlemesi için aktif hale getirilebilir.
  • Ele geçirilmiş bir iPhone, kurumsal Wi-Fi ağı içindeki daha kritik diğer veritabanlarına veya sunuculara sıçramak (Pivot) için köprü olarak kullanılabilir.

Kurumların Atması Gereken Acil Adımlar

  1. Envanter Taraması: MDM (Mobil Cihaz Kontrolü) çözümlerinizi kullanarak, ağınızda eski sürüm (örn: iOS 15, 16 veya kritik güvenlik güncellemelerini almamış sürümler) barındıran iPhone ve iPad cihazlarını hızla tespit edin.
  2. Güvenlik Yamalarının Zorunlu Kılınması: Apple, eski cihazlar için periyodik "yalnızca güvenlik" güncellemeleri (örneğin iOS 16.8.x) yayımlar. Tespit edilen tüm cihazların bu minimum seviyelere yükseltilmesini zorunlu (force update) hale getirin.
  3. Karantina Ağları: Güncellenmesi mümkün olmayan cihazların kurumsal e-posta veya iç yönetim portallarına erişimlerini katı bir sıfır-güven (Zero Trust) mimarisiyle engelleyin.

Savunma zincirinizdeki en zayıf halka genellikle güncellik dışı kalan mobil donanımlardır. Bu tür drive-by (web odaklı) saldırıların şirketinize etkisini görmek için Eresus Security Red Team ekibimizin sunduğu mobil sızma senaryolarından faydalanın.