iPhone-ul tău e o piață de vechituri pentru spioni
Un kit de hacking cu 23 de exploit-uri iOS a fost folosit de trei grupuri diferite, de la spioni ruși la infractori chinezi. Nimeni nu știe exact cum a ajuns de la unul la altul.
Imaginează-ți că ai un seif. Producătorul ți-a spus că e impenetrabil. L-ai plătit cu bani grei tocmai pentru asta. Apoi afli că cineva a descoperit cum să-l deschidă acum trei ani, a vândut metoda unui spion rus, care a vândut-o unui infractor chinez, care a vândut-o unui tip cu firmă de "consultanță în securitate" din nu-se-știe-unde. Și tu încă ții banii în el, pentru că nimeni nu ți-a zis nimic. Cam asta e povestea iPhone-ului tău în martie 2026.
Google a publicat joi un raport despre Coruna, un kit de hacking care adună 23 de exploit-uri separate pentru iOS într-un pachet compact și devastator. Cinci lanțuri de atac complete, capabile să spargă iPhone-uri cu versiuni de la iOS 13 (lansat în septembrie 2019) până la iOS 17.2.1 (decembrie 2023). Vineri, agenția americană CISA a adăugat trei dintre vulnerabilități în catalogul oficial de amenințări exploatate activ și a ordonat tuturor agențiilor federale să aplice patch-urile. Dar povestea interesantă nu e despre patch-uri. E despre cum același arsenal digital a ajuns în mâinile a trei grupuri complet diferite, fără ca nimeni să poată explica exact traseul.
Anatomia unui bazar de arme digitale
Coruna nu e un exploit. E o colecție. Un muzeu al ingeniozității malițioase, dacă vrei. 23 de vulnerabilități, fiecare cu nume de cod intern: Buffout, Jacurutu, Bluebird, Terrorbird, Cassowary. Sună ca o listă de operațiuni CIA din anii '60, dar sunt, de fapt, metode precise prin care cineva poate prelua controlul complet al unui iPhone. Fiecare exploit acoperă o fereastră specifică de versiuni iOS, iar împreună formează cinci lanțuri complete de atac. Primul pas: obții acces de citire și scriere prin browser (WebKit). Al doilea: ocolești protecția PAC (pointer authentication code), un mecanism prin care Apple verifică integritatea pointerilor din memorie. Al treilea: ieși din sandbox-ul browserului. Al patrulea: escaladezi privilegiile până la nivel de kernel. E ca și cum ai sparge, pe rând, ușa de la intrare, alarma, seiful și apoi și camera de supraveghere.
Ce face Coruna special nu e doar numărul de exploit-uri, ci calitatea lor. Cercetătorii Google au remarcat documentație extinsă, cu comentarii scrise în engleză nativă. Unele tehnici de exploatare nu au fost niciodată documentate public. Framework-ul JavaScript care orchestrează totul folosește o metodă de obfuscare unică, menită să împiedice atât detectarea, cât și ingineria inversă. Când se activează, rulează mai întâi un modul de fingerprinting care adună informații despre dispozitiv: model, versiune iOS, configurație. Apoi, pe baza rezultatelor, încarcă exploit-ul potrivit. E personalizat. E elegant. E terifiant.
Și mai terifiant e că Google a reușit să recupereze kitul complet doar pentru că unul dintre atacatori a făcut o greșeală: a implementat versiunea de debug, cu toate exploit-urile vizibile, inclusiv numele lor de cod interne. Așa au aflat că kitul se numește probabil Coruna. Fără acea eroare, am fi știut mult mai puțin. Ceea ce ridică o întrebare evidentă: câte alte kituri similare circulă fără să fi greșit cineva?
Trei clienți, un produs: spionajul ca serviciu partajat
Partea cu adevărat tulburătoare a raportului Google nu e tehnica. E geografia și cronologia. Coruna a fost detectat prima dată în februarie 2025, folosit de un "client al unui furnizor de supraveghere". Formulare elegantă pentru a spune: cineva a cumpărat acces de la o firmă de tip NSO Group, Intellexa sau una dintre multele companii care vând spyware guvernelor. Vulnerabilitatea exploatată, CVE-2025-23222, fusese deja patch-uită cu 13 luni înainte. Nu conta. Țintele nu-și actualizaseră telefoanele.
În iulie 2025, același kit apare din nou, de data asta în mâinile unui "grup suspectat de spionaj rusesc". Țintele: site-uri frecventate de ucraineni. Tehnica clasică de watering hole: infectezi un site pe care victimele tale îl vizitează oricum, apoi aștepți. Exploitul folosit, CVE-2023-43000, era și el vechi. Dar funcționa. În decembrie 2025, Coruna apare a treia oară, operat de un "actor motivat financiar din China". Adică un grup de infractori cibernetici chinezi, probabil implicați în furt de date sau fraudă.
Trei grupuri. Trei motivații complet diferite: supraveghere comercială, spionaj de stat, criminalitate financiară. Același kit. Google scrie, cu o prudență academică admirabilă, că "modul în care a avut loc această proliferare este neclar, dar sugerează o piață activă pentru exploit-uri zero-day second-hand". Traduc eu: există o piață second-hand pentru armament digital, la fel cum există una pentru Dacia 1310: produsul e vechi, dar încă omoară.
Această piață nu e nouă, dar Coruna o face vizibilă într-un mod fără precedent. Până acum, presupunerea generală era că exploit-urile zero-day sunt arme de unică folosință: le folosești, se descoperă, se patch-uiesc, gata. Realitatea e că multe vulnerabilități rămân exploatabile luni sau ani după ce patch-ul e disponibil, pentru că utilizatorii nu actualizează. Și atunci, un exploit "ars" pentru o agenție de informații devine perfect funcțional pentru un grup de criminalitate organizată care vizează telefoane mai vechi. E reciclare. E economia circulară a spionajului.
Ce apără Apple și ce nu apără nimeni
Să fim corecți cu Apple: toate vulnerabilitățile din Coruna au fost patch-uite. Cea mai recentă versiune afectată e iOS 17.2.1, lansată în decembrie 2023. Oricine rulează iOS 17.3 sau mai nou e imun. Și mai există două mecanisme de protecție care blochează Coruna complet: Lockdown Mode și navigarea privată. Lockdown Mode dezactivează funcționalități potențial vulnerabile din Safari, iar navigarea privată pare să interfereze cu modulul de fingerprinting al kitului.
Problema e că Apple Lockdown Mode e singurul lucru care oprește Coruna. Adică funcția pe care 99,7% dintre utilizatori nici nu știu că există. E ascunsă în Settings, sub Privacy & Security, și vine cu avertismente care sună ca și cum ți-ar dezactiva jumătate din telefon. Ceea ce, într-un sens, chiar face: blochează atașamente în Messages, dezactivează previzualizări de linkuri, restricționează funcționalități web. Apple o recomandă explicit pentru "jurnaliști, activiști și persoane vizate de atacuri sofisticate". Adică pentru toți cei care chiar au nevoie de ea, dar și pentru nimeni altcineva, pentru că cine vrea un iPhone care funcționează ca un Nokia din 2005?
În România, situația e și mai complicată. Conform datelor Statista și estimărilor locale, aproximativ 25-30% din telefoanele inteligente active sunt iPhone-uri. Dintre acestea, o proporție semnificativă rulează versiuni mai vechi de iOS, fie pentru că dispozitivele nu mai primesc actualizări (iPhone 6s și 7 au fost abandonate de Apple), fie pentru că utilizatorii amână update-urile. Un studiu Mixpanel din 2024 arăta că, la trei luni după lansarea unei noi versiuni iOS, circa 20% din baza instalată rămâne pe versiunea anterioară. În contextul Coruna, asta înseamnă sute de mii de dispozitive potențial vulnerabile doar în România.
Profesorul Adrian Viziteu de la Universitatea Politehnica din București, specialist în securitate cibernetică, subliniază un aspect pe care rapoartele internaționale îl ignoră sistematic: "În Europa de Est, ciclul de viață al unui smartphone e semnificativ mai lung decât în SUA sau Europa de Vest. Un iPhone cumpărat în 2020 e încă telefonul principal al multor utilizatori în 2026. Asta înseamnă că fereastra de vulnerabilitate e mult mai largă decât estimează producătorii." E un calcul simplu: cu cât ești mai sărac, cu atât ești mai expus. Iar România, cu un PIB per capita la paritatea puterii de cumpărare de aproximativ 77% din media UE, e exact în zona în care telefoanele se țin mai mult și se actualizează mai rar.
Piața neagră a zilelor zero: cine vinde, cine cumpără, cine pierde
Industria exploit-urilor zero-day e una dintre cele mai opace din lume. Firme precum Zerodium, care cumpără vulnerabilități de la cercetători independenți și le revând guvernelor, publică liste de prețuri: un exploit complet pentru iOS cu persistență poate ajunge la 2,5 milioane de dolari. NSO Group, creatorul Pegasus, a facturat guverne din întreaga lume pentru acces la telefoanele țintelor lor. Intellexa, firma greco-irlandeză din spatele spyware-ului Predator, a fost sancționată de SUA în 2024. Dar acestea sunt doar vârfurile vizibile ale unui aisberg imens.
Coruna sugerează un nivel și mai adânc al pieței: nu doar vânzarea de exploit-uri noi, ci revânzarea celor vechi. Gândește-te la asta ca la un lanț alimentar. Un cercetător descoperă o vulnerabilitate. O vinde unui broker. Brokerul o vinde unui guvern. Guvernul o folosește, vulnerabilitatea e descoperită și patch-uită. Dar brokerul mai are o copie. O vinde mai ieftin unui alt client, care o folosește contra țintelor care nu au actualizat. Apoi o vinde și mai ieftin unui grup criminal. Fiecare pas în jos pe lanțul trofic scade prețul și crește volumul. E exact modelul de business al fast fashion-ului, aplicat la armament cibernetic.
Google notează că "dincolo de exploit-urile identificate, mai mulți actori de amenințare au dobândit acum tehnici avansate de exploatare care pot fi reutilizate și modificate cu vulnerabilități nou identificate". Asta e partea cu adevărat îngrijorătoare. Nu e vorba doar de 23 de exploit-uri specifice. E vorba de tehnicile și cunoștințele care le susțin. Bypass-urile PAC, metodele de evadare din sandbox, framework-ul de obfuscare JavaScript: toate acestea sunt reutilizabile. Cine are acces la Coruna nu are doar un set de chei vechi. Are un atelier de făcut chei.
Iar pentru România, contextul e relevant și prin prisma bazelor de date biometrice în expansiune și a digitalizării accelerate a serviciilor publice. Un telefon compromis nu e doar un telefon compromis: e acces la identitatea digitală, la conturile bancare, la comunicațiile private. Directiva NIS2, transpusă în legislația românească, obligă instituțiile publice și operatorii de servicii esențiale să raporteze incidentele de securitate. Dar obligația de raportare nu înseamnă capacitate de detectare. Câte instituții românești au echipe capabile să identifice un atac de nivelul Coruna?
CISA reacționează, restul lumii ridică din umeri
Reacția CISA e, în sine, interesantă prin ce alege să includă și ce alege să ignore. Din cele 23 de exploit-uri documentate de Google, agenția americană a adăugat doar trei în catalogul de vulnerabilități exploatate activ: CVE-2021-30952 (un integer overflow), CVE-2023-41974 (un use-after-free în iOS și iPadOS) și CVE-2023-43000 (alt use-after-free). De ce doar trei? Probabil pentru că restul fie nu au CVE-uri atribuite, fie sunt considerate suficient de vechi încât să nu mai reprezinte un risc pentru agențiile federale care, teoretic, rulează versiuni actualizate.
Directiva CISA e clară: agențiile federale trebuie să aplice patch-urile conform instrucțiunilor producătorului sau, dacă mitigările nu sunt disponibile, să "discontinue utilizarea produsului". Formulare birocratică elegantă pentru "aruncă telefonul". În practică, asta înseamnă că orice angajat federal american care încă folosește un iPhone cu iOS 17.2.1 sau mai vechi trebuie fie să actualizeze, fie să renunțe la el. Dar CISA nu are autoritate decât asupra agențiilor federale americane. Pentru restul lumii, recomandarea e doar atât: o recomandare.
În Uniunea Europeană, ENISA (agenția europeană de securitate cibernetică) nu are un mecanism echivalent catalogului CISA. Fiecare stat membru are propriul CERT, cu propriile priorități și resurse. CERT-RO, echivalentul românesc, publică periodic alerte de securitate, dar capacitatea de a impune actualizări în sectorul public e limitată. Mihai Rotariu, purtător de cuvânt al DNSC (Directoratul Național de Securitate Cibernetică), a declarat în contextul unor incidente anterioare că "responsabilitatea actualizării dispozitivelor revine fiecărui utilizator și fiecărei instituții". Ceea ce e tehnic corect și practic inutil.
România a avut propriile episoade de spyware. În 2022, Citizen Lab a confirmat că Predator, spyware-ul produs de Intellexa, fusese folosit în mai multe țări europene. Grecia a fost cel mai mediatizat caz, dar cercetătorii au indicat că infrastructura de comandă și control a Predator tranzita servere din multiple țări, inclusiv din Europa de Est. Nu e confirmat public că România a fost țintă directă, dar nici nu e exclus. Într-o regiune unde serviciile de informații operează cu bugete opace și supraveghere parlamentară minimă, absența dovezilor nu e același lucru cu absența fenomenului.
Actualizează-ți telefonul (și scapă de iluzia securității absolute)
Concluzia practică e banală și tocmai de aceea e ignorată: actualizează-ți telefonul. iOS 17.3 și versiunile ulterioare sunt imune la Coruna. Dacă ai un iPhone care nu mai primește actualizări (iPhone 8 sau mai vechi), ești vulnerabil și nu ai ce face, în afară de a activa Lockdown Mode și a spera că nu ești suficient de interesant pentru nimeni. Ceea ce, statistic, e probabil adevărat. Dar statistic, și biletele de avion sunt sigure, până când nu mai sunt.
Ce e mai puțin banal e lecția sistemică. Coruna demonstrează că modelul de securitate al Apple, bazat pe ideea unui ecosistem închis și controlat, funcționează doar atât timp cât utilizatorii cooperează. Momentul în care cineva nu actualizează, întregul model se prăbușește. Și nu e vina utilizatorului. E vina unui sistem care face actualizările opționale, care permite telefoanelor vechi să funcționeze fără ultimele patch-uri, care tratează securitatea ca pe o funcție premium (Lockdown Mode) și nu ca pe un drept implicit.
Mai e și chestiunea transparenței. Google a descoperit Coruna. Nu Apple. Google a publicat raportul. Nu Apple. Apple a patch-uit vulnerabilitățile, da, dar fără să comunice public amploarea exploatării lor. Asta e un pattern: Apple preferă să rezolve în tăcere, pe principiul că panica face mai mult rău decât vulnerabilitatea. E un argument valid, dar și convenabil. Tăcerea protejează brandul. Iar brandul Apple e construit pe iluzia securității absolute: "ce se întâmplă pe iPhone, rămâne pe iPhone". Coruna demonstrează că ce se întâmplă pe iPhone ajunge la spioni ruși, hackeri chinezi și firme de supraveghere fără nume.
23 de exploit-uri, cinci lanțuri de atac, trei grupuri de hackeri și o singură întrebare: cine a vândut cui? Nimeni nu știe. Sau, mai precis, nimeni nu spune. Iar asta, în 2026, e poate cea mai sinceră descriere a industriei de securitate cibernetică: o piață în care toată lumea vinde, toată lumea cumpără și nimeni nu emite factură. Ca în România, de fapt. Doar că aici se fură date, nu lemn.
Între timp, undeva pe internet, cineva vinde un kit de exploit-uri "ușor folosit, un singur proprietar anterior". Prețul e negociabil. Garanția, inexistentă. Dar funcționează. Cel puțin pe telefoanele celor care n-au apăsat niciodată pe "Update Now". Adică pe mai multe telefoane decât ne place să credem.
inspired by: Feds take notice of iOS v... »
Editorialist cinic cu o furie reală față de mediocritate. Scrie despre putere, corupție și ipocrizie cu precizie chirurgicală.
Ai putea citi și
Anthropic dă în judecată Pentagonul. Și Pentagonul nici măcar nu comentează.
Compania care a refuzat să lase armata americană să facă ce vrea cu AI-ul ei a ajuns în instanță. Miza: sute de milioane de dolari, un precedent constituțional și întrebarea dacă o firmă tech mai are voie să spună nu.
Calculatorul tău șoptește secrete. De 80 de ani. Și nimeni nu te-a avertizat.
TEMPEST, tehnica de spionaj inventată pe vremea lui Stalin, funcționează și pe laptopul tău din 2026. Congresul american tocmai a descoperit că populația civilă e complet neprotejată.
Democrațiile Putrezesc. România a Putrezit de Mult.
Transparency International confirmă ce știam deja: democrațiile se descompun de la interior. SUA a căzut la minimul istoric, media globală a atins cel mai scăzut nivel din ultimul deceniu. România, cu 45 din 100, nu mai e excepția — e doar pioniera.
