谷歌警告iPhone漏洞工具包威脅 加密貨幣用戶助記詞恐遭竊取

谷歌威脅情報小組（GTIG）於2025年2月發布最新資安報告，揭露名為「Coruna」的新型iOS漏洞利用套件，可針對運行iOS 13.0至17.2.1版本的iPhone裝置發動攻擊，竊取加密貨幣錢包助記詞。該套件包含5條完整的iOS漏洞利用鏈與23個安全漏洞，部分漏洞此前從未公開。研究人員追蹤發現，這套工具最初疑似被俄羅斯間諜組織用於針對烏克蘭用戶，近期則出現在偽造的中國加密貨幣網站上，專門竊取用戶數位資產。當受害者使用iOS裝置瀏覽惡意網站時，系統會自動掃描包含助記詞及「備份短語」、「銀行帳戶」等關鍵詞的文本，並針對Uniswap、MetaMask等主流加密應用程式提取敏感資訊。GTIG強烈建議用戶立即將裝置更新至最新iOS版本，或啟用「鎖定模式」以阻擋攻擊。

漏洞套件技術細節與攻擊範圍

Coruna漏洞利用套件的技術架構顯示其具備高度專業性與複雜性。根據GTIG分析報告，該套件整合的23個漏洞涵蓋權限提升、遠端程式碼執行、沙箱逃逸等多個攻擊面向，其中部分漏洞屬於零時差漏洞，意味著在發現當時蘋果官方尚未釋出修補程式。這5條漏洞利用鏈經過精心設計，能夠在不同iOS版本間穩定運作，顯示開發者對蘋果作業系統核心架構有深入理解。受影響的iOS版本範圍從2019年發布的iOS 13.0一路延伸至2023年底的iOS 17.2.1，涵蓋市面上絕大多數未更新至最新版本的iPhone裝置，包括iPhone 8至iPhone 15系列機型。

特別值得注意的是，Coruna採用模組化設計，攻擊者可以根據目標環境動態選擇最適合的漏洞組合。這種彈性使得防禦方難以建立單一的防護規則。研究人員指出，該套件在技術層面與過往由國家級駭客組織開發的攻擊工具極為相似，但現在被重新包裝成針對一般加密貨幣用戶的犯罪工具，代表高端網路武器正走向商業化與平民化。此外，GTIG確認Coruna與最新版iOS 17.3及以上版本存在相容性問題，無法成功執行攻擊，這也間接證明蘋果在後續更新中已修補相關漏洞。

攻擊手法與目標分析

Coruna的攻擊流程展現出精密的社會工程學設計。攻擊者首先建立偽造的中國加密貨幣交易平台或錢包服務網站，這些網站在介面設計、域名命名上都極力模仿 legitimate 的服務，例如使用與知名交易所相似的網址拼寫變體。當用戶透過iPhone的Safari或其他瀏覽器訪問這些惡意網站時，Coruna會在背景自動執行一系列探測程式，無需用戶點擊任何連結或下載檔案，屬於無檔案式攻擊。

惡意程式會即時掃描裝置記憶體與瀏覽器快取中的文本內容，尋找特定關鍵詞組合。除了助記詞本身，搜尋目標還包括「備份短語」、「銀行帳戶」、「私鑰」、「seed phrase」、「recovery phrase」等超過30種語言變體。一旦偵測到符合條件的數據，套件會立即啟動資料提取模組，針對裝置上安裝的加密應用程式進行深度分析。研究人員發現，Uniswap、MetaMask、Trust Wallet、Coinbase Wallet等主流去中心化應用程式均在其攻擊名單內。Coruna能夠繞過這些應用的沙箱保護機制，直接讀取未加密的設定檔與暫存資料，甚至攔截剪貼簿內容。整個攻擊過程通常在30秒內完成，用戶完全無法察覺異常。

威脅演變與背後組織溯源

GTIG的威脅追蹤揭露了Coruna從國家級武器轉變為犯罪工具的完整軌跡。2025年2月初，研究人員在監控暗網論壇時首次發現該套件的蹤跡，當時有賣家以50萬美元標價兜售此工具，並聲稱已成功用於「特殊專案」。進一步分析顯示，2024年底至2025年初，有疑似俄羅斯軍事情報機構GRU關聯的駭客組織，曾利用Coruna針對烏克蘭政府官員與軍方人員發動魚叉式網路釣魚攻擊，目的是竊取數位身分認證資訊。

然而，2025年3月開始，GTIG觀察到該套件的攻擊特徵出現顯著變化。攻擊目標從特定政治與軍事人物，轉向廣泛的加密貨幣持有者；攻擊基礎設施也從俄羅斯境內伺服器，轉移至東南亞的匿名雲端服務。這種轉變暗示原始開發者可能將工具出售或出租給犯罪集團，或者駭客組織本身開始多元化其獲利模式。特別值得注意的是，偽造的中國加密網站使用簡體中文介面，並聲稱提供「人民幣兌USDT優匯率」服務，明顯針對華語地區用戶。GTIG分析師認為，這種本地化策略顯示攻擊者具備成熟的市場操作能力，能夠針對不同地區設計相應的誘餌。

防範建議與用戶自保措施

面對Coruna的嚴重威脅，GTIG提出多層次的防護建議。首要之務是立即將iPhone更新至iOS 17.3或更高版本，蘋果已在這些版本中修補相關漏洞。用戶可前往「設定」>「一般」>「軟體更新」檢查並安裝最新版本。對於無法升級的舊款裝置，GTIG強烈建議啟用「鎖定模式」，這是蘋果專為高風險用戶設計的極端防護功能，可大幅縮減攻擊面。啟用路徑為「設定」>「隱私權與安全性」>「鎖定模式」，開啟後系統會停用許多複雜功能，如訊息附件、網頁字型渲染等，能有效阻擋零時差攻擊。

除系統層級防護外，用戶應養成良好的安全習慣。首先，切勿在網頁瀏覽器中輸入或貼上助記詞， legitimate 的錢包服務絕不會要求用戶在網站上提供此類敏感資訊。其次，建議使用硬體錢包（如Ledger、Trezor）儲存大額資產，將私鑰完全隔離於網路環境之外。第三，安裝應用程式前務必確認開發者身分，從官方App Store下載，避免使用第三方商店或TestFlight版本。第四，定期檢查裝置是否有異常耗電或發熱情況，這可能是惡意程式在背景運作的徵兆。最後，對於任何宣稱提供「優惠匯率」、「空投獎勵」的未知網站，應保持高度警惕，先通過官方社群或客服管道驗證真偽。

產業影響與未來威脅趨勢

Coruna的出現對整個加密貨幣生態系敲響警鐘。根據Chainalysis統計，2024年全球因錢包竊盜造成的損失高達15億美元，而行動裝置漏洞利用已成為成長最快的攻擊向量。中心化交易所與去中心化金融協議雖已強化自身安全，但用戶端裝置的弱點仍是最脆弱的一環。此次攻擊特別針對助記詞，一旦竊取成功，攻擊者可完全控制錢包且無法逆轉，因為區塊鏈交易具有不可篡改特性。

資安專家預測，隨著加密貨幣市場持續擴大，高端漏洞利用工具的商業化趨勢將更加明顯。過去僅限於國家級駭客的攻擊能力，現在只需數十萬美元即可在黑市取得，這將導致針對一般用戶的「精準大規模攻擊」大幅增加。此外，攻擊者的本地化能力值得警惕，未來可能出現針對台灣用戶的繁體中文詐騙網站，模仿本土交易所如MAX、BitoPro等。蘋果公司面臨的壓力也將與日俱增，必須縮短漏洞修補週期，並考慮為加密貨幣用戶提供專門的安全強化選項。整體而言，這起事件凸顯了在數位資產時代，行動裝置安全與個人資產保護已密不可分，用戶、平台與作業系統供應商必須建立更緊密的安全協作機制。