政府間諜工具淪為網路犯罪武器 iPhone用戶面臨新世代威脅

Google安全團隊於2025年發現名為「Coruna」的強大駭客工具組，這套原屬政府開發的網路武器已流入犯罪市場，對運行舊版iOS系統的iPhone用戶構成嚴重威脅。研究人員證實，該工具最初用於政府客戶的間諜活動，隨後被俄羅斯間諜組織用於針對烏克蘭用戶的大規模攻擊，最終落入中國財務驅動型駭客手中。這些工具透過「水坑式攻擊」僅需用戶訪問惡意網站即可入侵裝置，影響範圍涵蓋iOS 13至17.2.1版本，共利用23個安全漏洞進行五種不同模式的攻擊，凸顯政府網路武器外洩對全球資安環境造成的系統性風險。

技術解析Coruna工具組的攻擊機制與漏洞特徵

Coruna工具組的技術架構顯示其具備高度模組化設計，能夠針對不同版本的iOS系統進行精準打擊。根據iVerify釋出的技術報告，這套工具組包含23個零日漏洞與已知漏洞的組合利用鏈，攻擊者可根據目標裝置的iOS版本選擇最有效的入侵路徑。這五種攻擊模式分別針對Safari瀏覽器渲染引擎、JavaScript核心、權限提升機制、核心記憶體管理以及沙箱逃逸等關鍵環節，形成完整的攻擊鏈。

特別值得注意的是，Coruna採用的水坑式攻擊具有極高的隱蔽性。駭客會先入侵目標用戶經常訪問的合法網站，植入惡意程式碼，當受害者使用存在漏洞的iPhone瀏覽這些網站時，攻擊會在背景自動執行，無需點擊任何連結或下載檔案。這種「路過式感染」手法使得傳統的安全防護措施難以偵測，因為流量來自可信賴的網域，且攻擊行為與正常瀏覽行為高度融合。

研究人員分析發現，Coruna的漏洞利用代碼具有政府級開發特徵，包含複雜的混淆技術、反偵錯機制以及對蘋果安全架構的深入理解。例如，其中一個針對iOS 16的核心漏洞利用，能夠繞過蘋果的指標認證碼機制，這需要對ARM64架構和iOS核心記憶體佈局有極深入的掌握。此外，工具組內建的持久化模組可在裝置重啟後維持存取權限，並具備自我銷毀功能以規避鑑識分析。

武器外洩路徑與地下市場交易生態

Coruna工具組的來源追溯指向美國政府網路武器框架的外洩。iVerify的技術比對顯示，Coruna與先前被揭露的美國國家安全相關駭客工具在程式碼結構、命名規則以及攻擊手法上存在高度相似性。這表明政府機構開發的網路武器可能透過內部人員洩露、承包商安全疏失或敵對情報機構竊取等途徑流入地下市場。

地下市場的「二手漏洞」交易已形成完整產業鏈。根據資安專家估計，一個高品質的iOS零日漏洞在黑市價格可達200萬至300萬美元，而完整的工具組價值更是難以估量。這些交易通常透過加密通訊軟體進行，買家包括國家級駭客組織、犯罪集團以及商業間諜公司。Coruna的案例顯示，政府武器一旦進入市場，其擴散速度極快，從最初政府客戶使用到俄羅斯組織濫用，再到中國財務型駭客利用，整個過程不到一年時間。

這種擴散模式引發嚴重的雙重用途困境。政府開發網路武器原本是為了國家安全與情報蒐集，但當這些工具失控後，反而成為威脅公民隱私與企業機密的利器。更複雜的是，部分政府可能默許甚至鼓勵這類工具流入特定組織，作為地緣政治鬥爭的延伸手段，使得責任歸屬與國際管制變得極為困難。

歷史重演從EternalBlue到Coruna的警訊

Coruna事件並非孤立案例，而是2017年EternalBlue外洩事件的翻版。當年美國國家安全局開發的Windows漏洞利用工具被駭客組織「影子掮客」竊取並公開，隨即引發WannaCry勒索軟體全球大流行，造成超過150個國家、20萬台電腦受感染，經濟損失高達數十億美元。這次事件已經證明，政府網路武器的外洩可能產生遠超預期的連鎖反應。

兩起事件存在驚人相似性：首先，都是政府級網路武器外流，開發者具備國家級資源與技術能力；其次，都利用作業系統核心漏洞，攻擊影響範圍廣泛且難以修補；第三，最終都被犯罪組織用於經濟利益驅動的攻擊，從間諜行動轉變為勒索與竊取。Coruna的影響可能更為深遠，因為智慧型手機承載的個人資料遠比傳統電腦更為豐富，包含位置資訊、生物特徵、金融帳戶等高度敏感資料。

資安產業對此類事件的重複發生表達強烈憂慮。國際特赦組織數位權利倡議者指出，政府發展網路攻擊能力時，往往低估武器外洩的風險與成本。當這些工具被獨裁政權用於監控異議人士，或被犯罪集團用於勒索普通民眾時，原始開發者難辭其咎。此外，由於許多政府工具利用的是零日漏洞，未向軟體廠商通報，導致用戶長期暴露於風險之中，直到外洩後才被發現。

全球影響評估與受威脅族群分析

Coruna工具組的威脅範圍涵蓋iOS 13至17.2.1版本，這意味著數億台未更新至最新iOS版本的iPhone裝置面臨風險。根據蘋果官方統計，全球活躍iPhone裝置超過10億台，其中約有15%至20%因硬體限制或使用者習慣未升級至iOS 18，這些裝置成為駭客的主要目標。特別是iPhone 8、iPhone X及iPhone 11系列用戶，若未持續更新系統，極易遭受攻擊。

地理分布上，烏克蘭用戶首當其衝。俄羅斯間諜組織利用Coruna對烏克蘭政府官員、軍事人員、記者及民間社會組織成員進行大規模監控，試圖獲取戰爭相關情報。這種國家級攻擊不僅威脅個人隱私，更直接影響國家安全與戰爭進程。隨後，中國財務驅動型駭客將攻擊目標轉向金融機構、加密貨幣交易所以及高淨值個人，透過竊取金融憑證與個人資料進行詐騙與勒索。

企業用戶同樣面臨重大風險。行動裝置管理系統若未能強制更新員工裝置，可能導致企業機密透過員工手機外洩。特別是在遠距工作盛行的當下，許多員工使用個人裝置處理公務，形成資安盲點。醫療、法律、金融等高度監管產業，若發生客戶資料透過員工手機遭竊事件，將面臨巨額罰款與信譽損失。

防禦策略與產業警示建議

面對Coruna威脅，資安專家提出多層次防禦策略。首要之務是立即將iPhone更新至iOS 17.2.2以上版本，蘋果已在後續更新中修補相關漏洞。對於無法更新的舊款裝置，建議使用具備網頁威脅防護功能的行動安全軟體，並避免訪問不明網站或點擊可疑連結。企業應部署零信任網路架構，假設所有裝置都可能遭入侵，嚴格限制資料存取權限。

蘋果公司對此事件回應強調，持續更新作業系統是保護用戶安全的關鍵。該公司表示，iOS 17.3之後的版本已加入強化的記憶體保護機制與沙箱隔離技術，能有效抵禦類似攻擊。然而，資安社群批評蘋果對舊款裝置的支援政策，認為應延長安全性更新的支援週期，而非以硬體升級為由放棄數億用戶。

國際社會亟需建立政府網路武器管制框架。聯合國裁軍研究所專家建議，應比照傳統武器出口管制，對網路武器開發、轉移與使用建立國際規範。同時，要求政府機構發現零日漏洞時，應在一定期限內向廠商通報，而非無限期囤積作為攻擊武器。資安廠商也呼籲建立全球漏洞揭露獎勵機制，以高額獎金吸引駭客向官方通報漏洞，而非出售給地下市場。