近期,Google 威脅情報小組披露了名為「Coruna」的 iOS 漏洞鏈,總共涉及23個嚴重安全漏洞。
據 Google 披露,漏洞鏈的利用方式極為隱蔽,攻擊者將惡意代碼給整合至 JavaScript 框架中,只要用戶通過 Safari 瀏覽器訪問被感染的網站,WebKit 引擎便會自動加載該代碼,瞬間入侵裝置。
Google 的報告中展示了攻擊者使用的混淆代碼片段,裡面為簡單的字符轉換數組和異或運算,技術門檻較低,從而增加了檢測難度。
攻擊分為兩個階段,首先是啓動指紋辨識模塊,然後收集裝置型號、iOS 版本等資料。隨後根據目標特徵加載對應的 WebKit 遠程代碼執行漏洞程式,繞過 Apple 的指針認證碼(PAC)防護機制,從而獲取用戶的銀行帳戶、加密貨幣錢包等核心私隱數據。
值得一提的是,Google 於2025年2月首次截獲某監控公司使用 Coruna 漏洞鏈的證據。同年夏季,漏洞鏈便被大規模植入烏克蘭網站,並向特定地理區域的 iPhone 用戶進行定向推送。同年年底則是偽裝成金融網站的釣魚頁面,誘導用戶訪問,從而實施財產竊取。
Apple 在2023年底的 iOS 17 及後續版本中進行了漏洞安全漏洞修復,但未向無法升級系統的舊機型提供修復檔。
Apple 的做法導致 iPhone 6s、iPhone SE、iPhone X 等舊機型無法受到保護,並且舊裝置被大量的年長者和兒童使用,導致受害案例持續激增。一直到近三年來,Apple 才開始發佈 iOS 15.8.7 與 iOS 16.7.15 更新進行修復。
