政府級黑客工具外流 iPhone舊版系統面臨重大資安威脅

近日安全研究人員揭露一套名為「Coruna」的強大黑客工具，這批原本由政府單位開發的網絡武器已流入犯罪市場，對全球使用舊版iOS系統的iPhone用戶構成嚴重威脅。Google安全團隊於2025年首次發現該工具當時被用於政府客戶的間諜活動，隨後這批工具遭俄羅斯間諜組織用於針對烏克蘭用戶的大規模攻擊，最終更落入中國財務驅動型黑客手中。研究顯示攻擊者僅需透過「水坑式」攻擊誘使用戶訪問惡意網站，即可在無需互動的情況下遠端入侵目標裝置，凸顯政府級網絡武器外流的嚴重後果。

工具曝光與跨國濫用軌跡

這起資安事件的曝光源自Google安全團隊在2025年的例行監控中，發現異常的網絡攻擊模式。研究人員追蹤後發現，一套代號為Coruna的完整攻擊工具包正在暗網與地下論壇中流通，其功能之強大、漏洞之完整，明顯超出一般黑客組織的開發能力。進一步調查證實，這些工具最初確實由政府機構委託開發，用於國家級的網絡情報蒐集任務。然而，在任務結束或合約終止後，這批工具並未妥善銷毀，反而透過不明管道進入二手武器市場。

工具的濫用軌跡呈現清晰的跨國轉移路徑。第一階段，俄羅斯間諜組織將其用於針對烏克蘭的國家級網絡戰，攻擊目標涵蓋政府官員、軍事人員與關鍵基礎設施操作者。第二階段，工具流入東亞地區，被中國的財務驅動型黑客集團接手，轉而用於大規模的商業勒索與數位貨幣竊取。這種從國家級武器到犯罪工具的轉變，顯示出當前網絡軍火控管機制的嚴重缺陷。iVerify的安全分析師指出，Coruna工具包的程式碼結構與攻擊邏輯，與2010年代末期美國政府開發的特定網絡武器框架高度相似，這暗示了工具來源可能與美國政府承包商或相關單位的資料外洩有關。

零點擊攻擊與技術漏洞分析

Coruna工具最危險的特性在於其零點擊攻擊能力。傳統的網絡攻擊通常需要受害者點擊惡意連結或下載可疑檔案，但Coruna採用的「水坑式」攻擊策略完全消除了這個門檻。攻擊者只需將惡意程式碼植入特定網站，當目標用戶使用受影響的iPhone瀏覽這些網站時，系統會在毫無警覺的情況下自動執行攻擊程式，整個入侵過程無需任何使用者互動。這種攻擊方式特別有效，因為它利用了使用者對日常網站的基本信任。

技術層面上，Coruna整合了23個不同的安全漏洞，形成一條完整的攻擊鏈。這些漏洞涵蓋iOS系統的核心元件，包括Safari瀏覽器的WebKit引擎、系統內核權限管理、記憶體保護機制等關鍵環節。工具可針對iOS 13至17.2.1版本的裝置發動五種不同模式的攻擊，根據目標裝置的具體版本與安全補丁狀態，自動選擇最有效的漏洞組合。值得注意的是，這些漏洞中有多個是此前未被公開的零日漏洞，顯示開發者擁有極強的逆向工程能力與內部情報來源。一旦入侵成功，攻擊者可獲得裝置的完整控制權，包括竊取通訊錄、訊息、照片、位置資訊，甚至啟動麥克風與鏡頭進行監控。

政府工具外流與地緣政治風險

Coruna事件的深層問題在於政府開發的網絡武器流入民間市場。iVerify的技術報告指出，該工具的程式碼簽章、模組化設計與日誌記錄機制，都符合政府軍事承包商的開發標準。這類工具通常造價昂貴，單一漏洞的開發成本可能高達數百萬美元，完整工具包的價值更難以估計。然而，當政府項目終止或承包商破產時，這些高價值資產往往缺乏明確的銷毀規範，為黑市交易創造了條件。

二手漏洞市場的運作模式已經形成完整產業鏈。原始開發者將工具出售給第一方政府客戶後，這些工具會被層層轉賣，每次轉手都伴隨著價格下降與使用門檻降低。最終，連技術能力有限的犯罪集團也能以相對低廉的價格取得這些武器。這種擴散模式不僅讓攻擊來源難以追溯，更使得地緣政治衝突的網絡武器最終威脅到普通民眾的日常生活。資安專家警告，若缺乏國際層級的網絡軍火控管條約，類似事件將持續發生，形成全球性的數位安全黑洞。

歷史重演與全球資安警訊

Coruna事件並非孤例，而是2017年EternalBlue外洩事件的歷史重演。當年美國國家安全局（NSA）開發的Windows系統黑客工具被駭客組織「影子掮客」竊取並公開，導致全球超過23萬台電腦在短時間內被感染，更引發了震驚全球的WannaCry勒索軟件大流行，造成醫療、金融、交通等關鍵領域數十億美元的損失。這兩起事件暴露了相同的制度性問題：政府機構過度集中開發強大攻擊工具，卻未能建立相對應的保管與銷毀責任制。

從更廣泛的角度觀察，Coruna的擴散反映出全球網絡安全防禦體系的脆弱性。當國家級攻擊工具被商業化，傳統的防毒軟件、防火牆等防禦措施幾乎完全失效，因為這些攻擊利用的是系統底層漏洞，而非一般惡意程式的特徵碼。蘋果公司雖然在iOS 17.3之後的版本中修補了相關漏洞，但統計顯示全球仍有超過15%的iPhone用戶運行著iOS 17.2.1或更早版本，這代表數億台裝置處於高風險狀態。更令人擔憂的是，這類工具可能已經被整合進更大規模的自動化攻擊平台，使得攻擊成本大幅降低，而防禦難度卻呈指數級上升。

用戶防範與產業因應建議

面對如此高階的威脅，終端用戶的防範措施顯得尤為關鍵。首要之務是立即將iPhone更新至iOS 17.3或更高版本，因為蘋果已在此版本中修補了Coruna利用的主要漏洞。對於無法更新的舊款裝置，建議避免使用Safari瀏覽器訪問來路不明的網站，並考慮安裝具備網絡過濾功能的資安應用程式。企業用戶應實施嚴格的裝置管理政策，強制要求所有公司配發的iPhone必須運行最新版系統，同時建立異常網絡流量的即時監控機制。

從產業層面來看，這起事件敲響了網絡武器管制的警鐘。資安專家呼籲建立類似《禁止核武器條約》的國際協議，規範政府開發的網絡武器在項目結束後的銷毀流程，並要求承包商建立更嚴格的原始碼保管制度。同時，蘋果等科技巨頭需要重新檢視其漏洞賞金計畫的誘因結構，確保發現的關鍵漏洞能被及時修補，而非流入黑市。最終，只有透過政府、企業與公民社會的共同努力，才能建立有效的防禦縱深，避免下一個Coruna工具再次將全球數位基礎設施置於險境。