Google 旗下威脅情報團隊(GTIG)與流動安全公司 iVerify 於 2026 年 3 月 3 日聯合披露,發現名為「Coruna」的高階 iOS 漏洞利用工具包。該工具包原為政府級駭客工具(原本為情報與警政單位使用),現已流入俄羅斯間諜組織及中國網路犯罪分子手中,導致逾 42,000 部舊 iPhone 暴露在風險之中,被定性為「史上已知首宗大規模 iOS 資安事件」。
影響規模與受影響版本:逾 4.2 萬部裝置淪陷
根據 Google 威脅情報團隊與 iVerify 的聯合調查,Coruna 漏洞利用工具包可攻擊 iOS 13.0 至 iOS 17.2.1 版本,涵蓋大量仍在使用中的舊 iPhone 裝置。iVerify 根據指揮控制伺服器(C2)連線進行估算,確認至少有 42,000 部以上裝置遭到入侵,這也是首次有如此大規模的 iOS 零日漏洞攻擊行動被安全研究人員完整記錄。
研究人員指出,實際感染數量可能更高,因為部分裝置可能已不再連線至 C2 伺服器,或攻擊者已清除相關痕跡。此次攻擊不僅影響範圍廣,其採用的「水坑攻擊」(Watering Hole Attack)手法也極具隱蔽性,攻擊者首先入侵特定網站,並在其中植入惡意程式碼。當受害者造訪這些被入侵的網站時,攻擊程式會自動執行,無需使用者點擊任何連結或下載檔案。
技術分析:23 個漏洞串聯而成的數位萬能鑰匙
Coruna iOS Exploit Kit 包含 23 個漏洞與 5 條完整的漏洞利用鏈(Exploit Chain),是至今發現最複雜的 iOS 攻擊工具之一。該工具包整合多項重大安全漏洞,包括 WebKit 遠端程式碼執行(RCE)漏洞與沙盒逃逸(Sandbox Escape)技術。Coruna 使用多個已知的 WebKit 漏洞進行初始入侵,包括 CVE-2024-23222、CVE-2022-48503 與 CVE-2023-43000。成功突破瀏覽器沙盒後,攻擊者再利用 CVE-2023-32409(代號 IronLoader)進行沙盒逃逸,並使用 CVE-2023-38606(代號 Gallium)繞過蘋果的 PPL(Pointer Authentication Code Protected Layer)防護機制。
成功入侵後,Coruna 會部署最終載荷「PlasmaLoader」(PLASMAGRID),該惡意程式偽裝成蘋果系統識別碼「com.apple.assistd」,以躲避安全檢測。其主要功能包括竊取加密貨幣錢包資料、信用卡資訊、BIP39 助記詞,以及 Apple Memos 中的敏感筆記內容。
Apple 的終極救援:緊急發布 iOS 16.7.15 與 15.8.7 更新
針對 Coruna 漏洞外洩所引發的資安危機,Apple 於 2026 年 3 月 12 日正式針對無法升級至 iOS 18 的舊款裝置釋出緊急安全性更新。此次更新旨在封堵上述關鍵漏洞,為受影響的舊款裝置提供關鍵的安全防護(算是業界良心)。
| 更新版本 | 建議更新之受影響舊款裝置 |
|---|---|
| iOS 16.7.15 | iPhone 8、iPhone 8 Plus、iPhone X |
| iOS 15.8.7 | iPhone 6s 系列、iPhone 7 系列、iPhone SE (第 1 代)、iPad Air 2、iPad mini 4 |
雖然 Apple 多年來一直承諾提供至少五年的安全更新,但此次針對已發布 13 年之久的裝置(如 iPhone 5s 的後續支援)仍持續提供修正,顯示了 Coruna 事件的嚴重性。
安全專家警告,國家級網絡武器一旦外洩,可能被犯罪組織濫用,對一般民眾造成嚴重資安威脅。使用舊版 iOS 的用戶應儘快更新至最新版本,以獲得完整的安全保護。
安全建議與防護措施
由於 Coruna 的最終載荷可竊取加密貨幣錢包與金融資料,資安專家特別呼籲,使用舊版 iOS 裝置且從事加密貨幣交易或儲存敏感財務資訊的用戶,應特別提高警覺。除了立即執行系統更新外,也應考慮將敏感資產轉移至支援最新硬體防護機制的裝置上(也就是換新機),以降低資安風險。