Der iPhone-Hack, den niemand haben sollte – aber jeder kriegen kann

Hochentwickelte iPhone-Exploits aus US-Regierungsbeständen landen bei russischen Spionen und chinesischen Cyberkriminellen. Das „Coruna“-Toolkit knackt iPhones ohne Klick – und markiert den EternalBlue-Moment für Mobile Security.

Wenn dein iPhone gehackt wird, während du nur eine Website besuchst, ist das kein Zufall. Es ist das Ergebnis jahrelanger Entwicklungsarbeit – finanziert von Steuerzahlern, gebaut für Geheimdienste. Jetzt zirkuliert diese Waffe im digitalen Untergrund.

Google hat im Februar 2025 ein iPhone-Hacking-Toolkit namens „Coruna“ identifiziert, das ursprünglich für einen Regierungskunden entwickelt wurde. Monate später, im Juli 2025, tauchte es bei russischen Spionagegruppen auf, die ukrainische Websites manipulierten. Dann bei chinesischen Cyberkriminellen, die Krypto-Wallets plünderten. Zehntausende Geräte wurden in der kriminellen Kampagne infiziert – so iVerify, die das Toolkit analysierten.

Zero-Click, Zero Chance: So funktioniert Coruna

Das Perfide an Coruna: Du musst nichts falsch machen. Keine verdächtige App installieren, keine Phishing-Mail öffnen. Ein Besuch auf einer manipulierten Website genügt – der sogenannte „Watering Hole“-Angriff. Das Toolkit nutzt 23 separate Sicherheitslücken in iOS, kombiniert fünf komplette Exploit-Ketten und umgeht alle Apple-Schutzmechanismen.

Betroffen sind iOS-Versionen 13 bis 17.2.1, also Geräte mit Software-Ständen bis Dezember 2023. Die Code-Analyse von iVerify deutet auf englischsprachige Entwickler hin – ein klassischer Fingerprint amerikanischer Contractor-Arbeit. Das US-Verteidigungsministerium?

Der Schwarzmarkt für Regierungs-Malware boomt

Willkommen im Sekundärmarkt für Zero-Days. Google warnt vor einem „aktiven Markt für gebrauchte Exploits“, auf dem Broker Tools ohne Exklusivität mehrfach verkaufen. Medienberichten zufolge zeigen jüngste Fälle das Geschäftsmodell: Ehemalige Führungskräfte von US-Contractors sollen Exploits an russlandnahe Broker verkauft haben – fähig, Millionen Geräte weltweit zu kompromittieren. Mindestens ein Exploit landete Berichten zufolge in Südkorea. Ob die Schwachstellen je an Hersteller gemeldet wurden? Das erinnert fatal an 2017, als die NSA ihren Windows-Exploit EternalBlue verlor – der dann WannaCry und NotPetya ermöglichte.

Rocky Cole von iVerify formuliert es drastisch: „Das ist der EternalBlue-Moment für mobile Malware.“ Parallel dazu knacken forensische Tools laut Medienberichten nun auch gesperrte iPhones neuerer iOS-Versionen. Das FBI nutzt solche Tools offiziell, doch sobald sie in Umlauf geraten, droht Identitätsdiebstahl im industriellen Maßstab. Deutschland erlebte Berichten zufolge ähnliche Debatten, als Sicherheitsbehörden kommerzielle Spyware testeten und verfassungsrechtliche Bedenken geäußert wurden – während einzelne Landesbehörden weiter verhandelten. Die Technologie ist da. Die Frage ist nur, wer sie morgen einsetzt.

Business Punk Check

Der Mythos vom sicheren iPhone ist Geschichte. Unternehmen mit BYOD-Policies sitzen auf tickenden Zeitbomben, wenn Mitarbeiter veraltete iOS-Versionen nutzen. Die gute Nachricht: Apple hat die Lücken in iOS 26 gepatcht, Lockdown Mode bietet zusätzlichen Schutz. Die schlechte: Laut Präventionstag registrierte Deutschland 2024 rund 950 Ransomware-Fälle – Mobile-Exploits tauchen in diesen Statistiken noch gar nicht auf.

Handlungsempfehlung? iOS sofort auf 26+ updaten, Lockdown Mode aktivieren, bei kritischen Geräten GrapheneOS erwägen – das widersteht selbst forensischen Tools. Oder akzeptieren, dass dein Pocket-Computer längst nicht mehr dir gehört. Die Wahl liegt bei dir – noch.

Häufig gestellte Fragen

Bin ich von Coruna betroffen?

Wenn dein iPhone iOS 13 bis 17.2.1 nutzt, bist du potenziell gefährdet. Apple hat die Lücken erst in iOS 26 geschlossen. Check deine Version unter Einstellungen > Allgemein > Softwareversion. Update sofort, wenn älter.

Schützt mich Lockdown Mode wirklich?

Ja. Google bestätigt, dass Coruna Geräte mit aktiviertem Lockdown Mode nicht angreift. Der Modus blockiert Zero-Click-Exploits, schränkt aber Funktionen wie Link-Vorschauen ein. Für Hochrisiko-Nutzer ein Muss.

Wie kommen Regierungs-Tools zu Kriminellen?

Durch Leaks bei Contractors, korrupte Broker oder Diebstahl. Medienberichten zufolge verkauften ehemalige Führungskräfte von US-Contractors Exploits für Millionen an russlandnahe Händler. Der Sekundärmarkt funktioniert wie eBay – nur ohne Käuferschutz und mit Malware als Ware.

Was unterscheidet Coruna von Pegasus?

Pegasus (NSO Group) zielt gezielt auf Einzelpersonen, Coruna wurde für Massenkampagnen missbraucht. Beide nutzen Zero-Click-Exploits, aber Coruna kombiniert 23 Schwachstellen in fünf Exploit-Ketten – technisch deutlich komplexer und wohl US-Herkunft.

Quellen: Focus, Netzpolitik, Spiegel, Techcrunch, Wired