Google揭露iPhone攻擊工具Coruna 疑美國政府開發竊取加密錢包助記詞

Google威脅情報小組（GTIG）週三發布報告指出，研究人員於2025年2月首次發現名為「Coruna」的iPhone漏洞利用工具包，該工具可攻擊iOS 13.0至17.2.1版本裝置，透過偽造網站竊取用戶加密貨幣錢包助記詞。這款包含5條完整漏洞利用鏈與23個漏洞的攻擊工具，最初被追蹤到疑似俄羅斯間諜組織用於針對烏克蘭目標，但同年12月卻出現在大批偽造的中國金融網站上。資安專家警告，這可能是首次有疑似美國政府開發的網路武器外流，遭敵對勢力與犯罪集團濫用，但相關說法仍存爭議。

攻擊工具技術解析與影響範圍

Coruna的技術架構展現出高度複雜性與精密規劃。根據GTIG公佈的技術細節，這套漏洞利用工具包涵蓋iOS 13.0至17.2.1之間的所有版本，影響時間跨度長達四年半，波及數億台iPhone裝置。工具包內建的5條獨立漏洞利用鏈，代表開發者針對不同iOS版本與硬體配置設計了模組化攻擊路徑，確保無論用戶使用新款或舊款裝置，攻擊者都能找到對應的入侵方式。

23個漏洞中包含多個零時差漏洞，這些漏洞在攻擊發生前並未公開，Apple也尚未修補。這種漏洞儲備能力通常只有具備雄厚資源的國家級駭客組織或大型監控公司才能掌握。GTIG特別強調，Coruna的攻擊流程並非單一漏洞的簡單利用，而是透過漏洞鏈串接，層層突破iOS的沙盒機制、權限管控與記憶體保護，最終取得系統核心權限，完整控制受害裝置。

值得注意的是，Coruna的開發者展現出對iOS系統架構的深刻理解。攻擊程式不僅能繞過Apple的程式碼簽署機制，還能躲避系統的行為偵測與異常監控。這種技術水準與2016年爆發的Pegasus間諜軟體有相似之處，但Coruna的攻擊目標更為專注，主要針對加密貨幣相關資產，顯示開發者對金融犯罪生態系有深入研究。

偽造網站攻擊鏈與竊取目標

Coruna的散播策略採用水坑式攻擊，將惡意程式碼埋藏在看似正常的網站中。研究人員觀察到，攻擊鏈始於一段精簡的JavaScript偵測程式，當使用者透過iPhone瀏覽器訪問被感染的網站時，這段程式會在毫秒間完成裝置指紋辨識，包含裝置型號、iOS版本、IP地理位置等資訊。只有符合攻擊條件的目標才會被投遞完整的漏洞利用工具包，這種篩選機制大幅降低攻擊被資安社群發現的風險。

2025年3月的初始攻擊案例中，駭客將Coruna植入被入侵的烏克蘭網站，僅向該國IP範圍內的iPhone用戶發動攻擊，手法符合地緣政治導向的間諜活動特徵。然而同年12月，GTIG發現攻擊框架出現戲劇性轉變，大量偽造的中國金融網站開始使用相同程式碼，其中包括冒充知名加密貨幣交易所WEEX的釣魚網站。這種從國家級間諜活動轉向大規模金融犯罪的演變，引發資安界對網路武器外流的嚴重憂慮。

一旦裝置遭入侵，Coruna會執行多階段竊取任務。首要目標是掃描簡訊資料庫，尋找助記詞、備份短語、銀行帳戶等關鍵字。助記詞是恢復加密錢包的唯一憑證，竊取後可完全控制受害者資產。其次，工具會深度檢測裝置內安裝的應用程式，特別針對MetaMask、Uniswap、Trust Wallet等熱門去中心化金融應用，嘗試提取私鑰或交易紀錄。研究人員還發現，Coruna具備鍵盤側錄與螢幕截圖功能，可攔截用戶手動輸入的敏感資訊。

來源爭議與地緣政治風險

Coruna的開發者身份成為最大謎團與爭議焦點。行動安全公司iVerify共同創辦人Rocky Cole向《WIRED》表示，從程式碼結構、加密手法與模組設計來看，Coruna與過去被歸因於美國政府的網路武器有相似特徵。Cole估算，開發如此複雜的工具包需投入數百萬美元研發經費，並需長期掌握iOS核心技術，這種資源規模通常只有國家級單位具備。

更引人關注的是，這可能是美國政府網路能力外流的首例證據。若屬實，代表美國國家安全局或相關情報單位開發的攻擊工具，可能透過承包商洩密、內部人員變節或駭客入侵等方式，落入敵對國家與犯罪集團手中。這種情況將徹底改變網路戰的遊戲規則，因為西方國家長期指責俄羅斯、中國、北韓等國的網路武器外流，如今角色可能逆轉。

然而，卡巴斯基首席安全研究員對此提出強烈質疑。他向《The Register》強調，目前公開的技術報告中沒有發現程式碼重用的具體證據，無法建立Coruna與任何已知美國政府工具的技術關聯。他認為，僅憑開發成本與技術複雜度就推斷國家歸屬，在科學上並不嚴謹。資安界過去曾多次誤判攻擊來源，例如將犯罪集團的活動錯誤歸因於國家駭客，或反之亦然。

GTIG在報告中刻意迴避歸屬問題，僅描述技術事實。這種謹慎態度反映國際資安研究的困境：一方面需警示公眾威脅的真實性，另一方面又需避免在缺乏確鑿證據下引發外交爭端。值得注意的是，Coruna的命名本身可能隱含線索——開發者使用此名稱是否暗示其地理或文化背景，目前尚無定論。

用戶防護與產業警示

面對Coruna這類高階持續性威脅，一般用戶的防護選項相對有限但至關重要。GTIG明確建議，所有iPhone用戶應立即更新至最新版iOS，因為Apple已在後續版本中修補相關漏洞。對於無法升級的舊款裝置，Apple提供的鎖定模式（Lockdown Mode）是有效防禦手段。該模式會限制多項進階功能，如訊息附件、複雜網頁技術與未授權的設定描述檔，能顯著降低被攻擊風險，但需犧牲部分使用便利性。

加密貨幣持有者應採取多層次安全策略。首先，絕對避免將助記詞以數位形式儲存在任何連網裝置上，應使用實體紙本或金屬備份板離線保存。其次，啟用硬體錢包的多重簽名功能，要求多個裝置共同授權才能交易。再者，對於大額資產，應考慮使用冷錢包完全隔離網路。最後，定期檢查交易紀錄，設定異常轉帳告警機制。

企業與交易所方面，這次事件暴露出行動裝置管理的重大缺口。資安團隊應部署行動威脅防護（MTD）解決方案，主動偵測裝置是否遭越獄或植入惡意程式。同時，金融應用開發者需強化應用層防護，例如導入裝置完整性檢測、敏感資料記憶體加密與反偵錯機制，避免成為攻擊目標。

從產業角度觀察，Coruna的出現再次引發漏洞揭露倫理的辯論。若確為美國政府開發的工具外流，代表官方囤積零時差漏洞的政策不僅無法保障國家安全，反而可能反噬公民與企業。資安社群長期主張，發現漏洞應優先通知廠商修補，而非作為攻擊武器儲備。這次事件可能促使各國重新評估網路軍備管制政策，推動類似《瓦聖納協定》的網路武器出口管制框架。