Si segueixes estirant un iPhone o iPad amb uns quants anys a sobre, toca dedicar-li un moment a les actualitzacions. Apple ha alliberat noves versions d'iOS i iPadOS pensades precisament per a aquests models veterans que ja no fan el salt a les últimes grans versions del sistema, però que segueixen en ús diari a Espanya ia la resta d'Europa.
Encara que a simple vista no afegeixen funcions noves ni canvis de disseny, aquestes versions se centren a tancar errors de seguretat especialment delicats. Diverses d'aquestes vulnerabilitats estan sent utilitzades ja en campanyes reals d'espionatge i robatori de dades, així que, encara que el mòbil o la tauleta segueixin anant “fins”, deixar-los sense pegat és ara mateix un risc innecessari.
Quines actualitzacions ha llançat Apple i per a què serveixen
En aquest desplegament, Apple ha publicat quatre versions específiques d'iOS i iPadOS dirigides a dispositius que s'han quedat ancorats en branques anteriors del sistema:
- iOS 16.7.15
- iPadOS 16.7.15
- iOS 15.8.7
- iPadOS 15.8.7
L'objectiu d'aquests llançaments és portar als iPhone i iPad antics els mateixos pegats de seguretat que Apple ja havia incorporat anteriorment en versions més recents de iOS 17. Fins ara, els models nous estaven coberts, però molts dispositius de generacions anteriors seguien exposats malgrat funcionar amb total normalitat el dia a dia. Aquests pegats de seguretat igualen la protecció entre branques del sistema.
Segons les notes de seguretat de la companyia, aquestes versions estan catalogades com “correccions importants recomanades per a tots els usuaris”. És a dir, no són una actualització menor que puguis deixar per quan te'n recordis: hi ha forats de seguretat que s'estan explotant activament.
En tots els casos, es tracta de pegats centrats en seguretat: no veuràs icones diferents ni canvis a les apps, però per sota es corregeixen vulnerabilitats que podien obrir la porta a la instal·lació de spyware, el robatori d'informació o la presa de control del dispositiu. Per això convé no endarrerir aquest tipus d'actualitzacions i aplicar pegats crítics quan estan disponibles.
Dispositius antics que reben iOS 15.8.7 i iOS 16.7.15
Un dels detalls més cridaners daquest moviment és la edat d'alguns models que segueixen rebent pegats. Hi ha equips que es van presentar fa gairebé una dècada i continuen obtenint correccions crítiques, poc habitual si es compara amb el suport d'altres fabricants de mòbils.
A la pràctica, els equips que poden instal·lar aquestes noves versions es divideixen en dos grans grups: els que es van quedar a la branca de iOS 15 i els que tenen com a topall iOS 16.
Models que reben iOS 15.8.7 / iPadOS 15.8.7
- iPhone 6s
- IPhone 6s Plus
- iPhone 7
- iPhone 7 Plus
- iPhone SE (1a generació)
- iPod touch (7a generació)
- iPad Aire 2
- Mini iPad 4
En aquest bloc hi ha autèntics veterans, com el iPad Air 2 (2014) o els iPhone 6s (2015), que moltes persones a Espanya i Europa segueixen utilitzant per a WhatsApp, correu, navegació o com a dispositiu secundari. Tot i el temps que ha passat des del seu llançament, encara reben correccions de seguretat d'alta prioritat.
Models que reben iOS 16.7.15 / iPadOS 16.7.15
- iPhone 8
- iPhone 8 Plus
- iPhone X
- iPad (5a generació)
- iPad Pro de 9,7 polzades (1a generació)
- iPad Pro de 12,9 polzades (1a generació)
Aquests dispositius són una mica més recents, però ja no poden instal·lar les versions més modernes de iOS. Continuen molt presents al mercat de segona mà ia moltes llars, petites empreses i centres educatius europeus, on un iPhone 8 o un iPad de cinquena generació continua sent suficient per a tasques bàsiques.
En tots aquests casos, els dispositius continuaran funcionant amb iOS 15 o iOS 16 com a versió màxima, però amb les vulnerabilitats greus corregides gràcies a les noves actualitzacions. És a dir, no hi haurà salt a una branca superior del sistema, però sí que es reforça la seguretat amb els pegats més recents.
Coruna: el kit d'explotació que ha forçat el pegat
La raó de fons d'aquesta ronda d'actualitzacions és un conjunt de vulnerabilitats conegut com a Coruna. Investigadors de Google Threat Intelligence Group i de la signatura de seguretat iVerify han documentat un kit d'explotació molt sofisticat capaç d'encadenar fins i tot 23 fallades diferents a iOS.
Coruna no és un virus tradicional, sinó un framework d'explotació dissenyat per aprofitar errors del sistema operatiu i saltar capa a capa les defenses de iOS. En alguns escenaris, només cal visitar una pàgina web manipulada perquè s'executi codi maliciós a través del navegador i s'iniciï la cadena d'atac.
Els informes de seguretat assenyalen que aquest kit es dirigeix a versions que van des de iOS 13.0 fins iOS 17.2.1. A les versions més recents, Apple ja havia anat tancant bona part d'aquests buits amb actualitzacions anteriors. No obstant això, molts dels dispositius que romanien a iOS 15 i 16 conservaven diverses bretxes sense pegats, cosa que deixava aquests models antics al punt de mira.
Entre les vulnerabilitats associades al kit apareixen identificadors com CVE-2023-41974, CVE-2023-43000, CVE-2023-43010 i CVE-2024-23222. Diverses afecten a WebKit, el motor que utilitzen Safari i moltes apps per mostrar contingut web, mentre que altres impacten en el mateix nucli d'iOS, el nucli del sistema operatiu.
En combinar aquests errors, els atacants poden aconseguir des de execució de codi remot al navegador fins a elevar privilegis a nivell de kernel, un escenari en què resulta molt més senzill instal·lar spyware, extreure'n informació o mantenir un accés persistent al dispositiu sense que l'usuari el percebi.
Un error explotat en atacs reals d'espionatge i robatori de dades
La part més preocupant de Coruna és que no és una amenaça teòrica. Els investigadors de Google i altres companyies han confirmat que aquest kit ja s'ha utilitzat en operacions reals de ciberespionatge i campanyes dirigides a robar dades sensibles, incloent informació financera i criptomonedes.
En alguns casos documentats, l'atac podia desencadenar-se simplement visitant una web compromesa o prement un enllaç rebut per SMS, correu o aplicacions de missatgeria. A partir d'aquí, la cadena d'explotació superava progressivament les defenses d'iOS fins a aconseguir el control de l'equip.
Un cop dins, els atacants podien instal·lar programari espia o malware capaç d'accedir a fitxers, missatges, historials de navegació, fotografies, dades d'apps bancàries o serveis al núvol. També era possible activar micròfon o càmera en segon pla, tot sense senyals visibles per a l'usuari.
Els informes apunten que grups de ciberespionatge vinculats a diferents països i empreses privades de vigilància haurien incorporat Coruna a les seves eines. A més, aquest tipus de kits acaben circulant a la dark web, on es comercialitzen altres actors amb menor nivell tècnic, però amb interès a explotar les mateixes vulnerabilitats.
Davant aquest escenari, Apple ha optat per traslladar ràpidament els pegats que ja eren presents a iOS 17 a les branques 15 i 16, de manera que els usuaris de dispositius més antics no quedin desprotegits davant d'atacs que ja s'estan veient “al carrer”.
Què corregeixen exactament iOS 15.8.7 i iOS 16.7.15
Apple no entra al detall detallat de cada fallada a les seves notes públiques, en part per a no donar més pistes del compte a potencials atacants. Tot i així, la informació disponible permet fer-se una idea força clara de per on van les correccions incloses en aquestes versions.
En el cas de iOS 16.7.15 i iPadOS 16.7.15, el focus recau sobretot en WebKit. La companyia indica que processar contingut web maliciós podia provocar corrupció de memòria, un tipus de fallada que obre la porta a l'execució de codi en el context del navegador. Per tancar aquesta via s'han introduït millores a la gestió de memòria ia la validació de tipus.
D'altra banda, iOS 15.8.7 i iPadOS 15.8.7 van una mica més enllà. A més de portar les mateixes correccions relacionades amb WebKit, incorporen canvis al nucli de iOS per solucionar una vulnerabilitat de tipus use-after-free. Aquest error permetia que una aplicació amb els permisos adequats arribés a executar codi amb privilegis de nucli, el que a la pràctica podia donar control gairebé total del dispositiu.
Entre les fallades corregides en aquesta branca es troben les associades a identificadors com CVE-2023-41974 (kernel) i CVE-2024-23222 i CVE-2023-43000 (WebKit). En conjunt, aquests pegats formen part del mateix paquet de mesures amb què Apple intenta desactivar completament les cadenes d'atac que utilitza Coruna.
Bona part d'aquestes vulnerabilitats ja s'havien solucionat a iOS 16.6, iOS 17, iOS 17.2 i iOS 17.3, però fins ara els models encallats a iOS 15 i 16 seguien sense rebre aquests arranjaments. Amb les noves versions, es tanca aquest desfasament i s'iguala la protecció davant d'aquesta família concreta d'exploits.
Per què els iPhone i iPad antics són un objectiu tan desitjable
Pot fer la impressió que ningú es molestarà a atacar un mòbil amb diversos anys a l'esquena, però la realitat va just pel camí contrari. Molts dispositius antics segueixen en ús intensiu i no sempre s'actualitzen amb la mateixa rapidesa que els models recents, cosa que els converteix en un blanc molt còmode.
A mercats com Espanya i bona part d'Europa, és fàcil trobar-se diàriament amb iPhone 6s, 7, 8, SE de primera generació o iPhone X. Són terminals que, encara que ja no puguin instal·lar les últimes versions del sistema, compleixen de sobres per a WhatsApp, xarxes socials, correu, videotrucades o com a mòbil de recanvi, i que al mercat de segona mà es mouen en preus molt continguts.
El problema és que aquests equips manquen de les defenses més modernes que sí que incorporen els iPhone d'última fornada, tant a nivell de maquinari com de programari. Si a més a més es queden sense els pegats de seguretat més recents, es converteixen en un caramel per a qualsevol atacant que disposi d'un kit com Coruna.
A això se suma que molts d'aquests dispositius antics es fan servir per accedir a comptes de correu, serveis al núvol, banca online o aplicacions corporatives. Comprometre un mòbil envellit no només afecta el propietari, sinó que pot obrir la porta a dades de tota una família o, en el cas de petites empreses i autònoms, a informació professional sensible.
Per tot això, els experts insisteixen que mantenir actualitzats fins i tot els dispositius veterans és una capa de protecció bàsica, sobretot quan hi ha evidències que les vulnerabilitats corregides s'estan explotant de manera activa.
Com instal·lar el pegat al teu iPhone o iPad antic
El procés per instal·lar aquestes actualitzacions és l'habitual d'iOS i no requereix coneixements tècnics ni massa temps. En tractar-se de pegats de seguretat i no d'una gran versió del sistema, la mida de la descàrrega sol rondar els 100-200 MB, així que en una connexió WiFi normal baixa en pocs minuts.
Per comprovar si ja teniu l'actualització disponible al vostre dispositiu, només cal seguir aquests passos:
- Obre l'app Paràmetres al teu iPhone o iPad.
- Entra a l'apartat General.
- Cliqueu a Actualització de programari.
- Espera que el sistema busqui noves versions i, si apareix iOS 15.8.7 o iOS 16.7.15 (o els seus equivalents a iPadOS), toca a Descarregar i instal·lar.
Abans d'iniciar el procés, és recomanable tenir el dispositiu connectat a una xarxa WiFi estable i amb, almenys, un 50% de bateria o endollat al carregador. També és bona idea fer una còpia de seguretat recent, ja sigui a iCloud o en un ordinador, per curar-se en salut si alguna cosa es torça durant la instal·lació.
Un cop descarregat el paquet, l'equip es reiniciarà i completarà l'actualització automàticament. Des d'aquell moment, el dispositiu seguirà amb la mateixa versió principal de l'iOS que tenies fins ara, però amb les bretxes associades a Coruna tancades.
En un context en què els atacs mòbils són cada cop més silenciosos i sofisticats, aquest tipus de pegats per a models antics recorden una cosa força senzilla: encara que el telèfon o la tauleta semblin “anar bé per al que els utilitzo”, tenir el sistema al dia marca la diferència entre un dispositiu exposat i un altre molt més difícil de comprometre.
