Google示警舊版iOS漏洞 駭客疑用美國政府工具發動攻擊

Google威脅情報團隊（Google Threat Intelligence Group, GITG）近日發布重大資安警報，揭露一款名為「Coruna」的駭客攻擊工具正在全球範圍內鎖定舊版蘋果iOS作業系統發動攻擊。這款工具主要針對2019年至2023年間的iOS 13.0至17.2.1版本，影響數以百萬計的iPhone用戶。研究人員高度懷疑，Coruna源自美國政府開發的網路攻擊框架，並透過地下「二手零日漏洞市場」外流至多個駭客組織手中，包括疑似俄羅斯情報單位及中國金融犯罪集團。Google明確警告，雖然最新版iOS系統不受影響，但所有使用舊版系統的用戶都面臨嚴重風險，強烈建議立即更新至最新版本以確保安全。

攻擊工具Coruna現身 鎖定舊版iOS系統

Google威脅情報團隊在追蹤一家監控軟體廠商的惡意活動時，意外發現了Coruna漏洞利用工具包的存在。這款工具展現出高度的技術複雜性，能夠繞過蘋果多層安全防護機制，在受害者毫無察覺的情況下取得iPhone的完整控制權。研究人員分析指出，Coruna利用了多個尚未公開的零日漏洞，這些漏洞橫跨iOS 13.0至17.2.1的廣大版本範圍，涵蓋了從iPhone 6S到iPhone 15系列的多代產品。

值得注意的是，Coruna的攻擊手法具有明顯的國家級網路武器特徵。它不僅具備精密的漏洞觸發機制，更內建反取證與持久化駐留功能，能在系統重啟後自動重新植入惡意程式碼。這種設計水準遠超一般犯罪集團的能力範圍，顯示其開發者擁有深厚的作業系統底層知識與龐大的研發資源。Google團隊特別強調，Coruna對iOS 17.3及以上版本完全無效，這也間接證明蘋果在後續更新中已修補相關漏洞，但由於並非所有用戶都養成即時更新的習慣，大量設備仍暴露在風險之中。

行動安全網站iVerify在同日發布的部落格文章中證實了Google的發現，並提供更深入的分析。iVerify研究人員指出，Coruna的程式碼結構與已知的美國國家安全局（NSA）工具存在驚人相似性，特別是與2017年外洩的EternalBlue工具包在模組化設計與加密通訊手法上如出一轍。EternalBlue當年造成全球WannaCry勒索軟體大流行，影響超過150個國家的數十萬台電腦，如今類似場景可能在行動裝置領域重演。

國家級工具外流 二手市場成隱憂

最令資安專家憂心的是Coruna的來源問題。Google團隊雖然無法百分之百確定工具的原始開發者，但多項證據指向美國政府機構。研究人員推測，這可能是某個已終止的機密計畫所遺留的資產，或是從政府承包商系統中竊取而來。無論如何，這代表著國家級網路武器已脫離原始管控，流入地下經濟體系。

「二手零日漏洞市場」的運作模式在此案例中扮演關鍵角色。這個隱密的交易網絡專門買賣已遭外洩或不再受官方支援的網路攻擊工具。與一般的暗網交易不同，這類市場的客戶通常是具備一定技術能力的駭客組織，他們能夠將這些工具改造後用於新的攻擊場景。Google觀察到，Coruna在不同駭客組織手中呈現出變異版本，顯示使用者會根據需求進行客製化修改，這使得追蹤與防禦工作更加困難。

iVerify更直指擁有「直接證據」顯示Coruna是「外洩的美國政府框架」。研究人員發現工具包內部留有未清除的除錯日誌，其中包含僅有美國官方開發者會使用的特定標記與命名慣例。此外，部分攻擊模組的數位簽章時間戳記與已知NSA合約商的開發週期高度吻合。這些技術細節雖然無法在法律上構成鐵證，但對資安社群而言已具備高度說服力。

這起事件再次凸顯政府開發網路武器所帶來的長期風險。當年NSA開發EternalBlue時，可能從未預料到工具會外洩並造成全球性災難。如今Coruna的案例顯示，類似的劇情正在行動裝置領域上演。政府機構在追求情報優勢的同時，往往低估了其開發工具被逆向工程、竊取或濫用的可能性，最終受害的卻是一般民間用戶與企業。

全球駭客組織濫用 攻擊目標遍及多國

Google的追蹤數據顯示，Coruna已至少被三個不同背景的駭客組織所採用。首先是俄羅斯國家級駭客，他們將Coruna用於針對烏克蘭政府官員與軍事人員的間諜活動。在俄烏戰爭持續膠著之際，這類攻擊明顯服務於軍事情報蒐集目的。受害者手機一旦被入侵，通訊錄、簡訊、通話記錄、地理位置等敏感資訊都會被自動回傳至俄羅斯控制的指揮伺服器。

其次是中國金融犯罪集團，他們將Coruna改造為針對高資產族群的詐騙工具。這些駭客專門鎖定使用舊款iPhone的企業高層與富裕人士，透過入侵手機竊取網銀驗證碼、電子錢包私鑰等金融憑證。與俄羅斯駭客不同，中國犯罪集團更注重經濟利益，他們甚至開發出自動化洗錢模組，能在竊取資金後快速透過加密貨幣混幣器轉移贓款。

第三個使用方是商業監控軟體廠商，這也是Google最初發現Coruna的線索來源。這類廠商將工具包整合到其販售的間諜軟體中，客戶包括部分國家的執法機構與情報單位，但也流入私人偵探、企業競爭對手甚至家暴加害者手中。這種商業化濫用使得Coruna的威脅層面更加複雜，不再侷限於傳統的國家級對抗。

烏克蘭用戶成為最集中的受害者群體，僅在2024年第四季，資安廠商就偵測到超過500起相關攻擊事件。考慮到多數攻擊可能未被發現，實際數字恐怕遠高於此。這些攻擊不僅危及個人隱私，更可能洩露軍事部署、後勤補給等關鍵戰略資訊，直接影響戰場態勢。

資安防護建議與產業影響

面對Coruna威脅，Google與iVerify提出一致建議：立即更新iOS系統至最新版本。蘋果在iOS 17.3之後的更新中已修補相關漏洞，只要用戶保持系統更新就能完全免疫。對於無法升級到最新版的老舊裝置（如iPhone 6S、iPhone 7等），專家建議應考慮更換設備，或至少避免在這些裝置上處理敏感資訊。

台灣用戶特別需要提高警覺。雖然目前尚未有大規模攻擊報告，但台灣地處地緣政治敏感地帶，又是高科技產業重鎮，向來是國家級駭客的重點目標。Google在報告中特別點名台灣，提醒用戶與企業應加強行動裝置安全管理。企業IT部門應強制要求員工使用最新版iOS，並部署行動裝置管理（MDM）解決方案，以便遠端監控與應變。

這起事件也對蘋果生態系造成衝擊。過去iOS以封閉性與安全性著稱，但Coruna證明即使是高度防護的系統，只要存在未修補的漏洞，仍可能成為國家級武器的攻擊目標。蘋果可能面臨用戶要求延長舊款裝置安全支援的壓力，目前iPhone通常提供5至6年的主要更新，但對於無法升級最新版系統的裝置，安全補丁支援往往提前終止。

資安產業預期將迎來新一波商機。行動裝置偵測與回應（MDR）方案、零信任架構、端點偵測工具的需求將顯著提升。特別是iVerify這類專注於行動安全的廠商，其提供的漏洞掃描與威脅情資服務，可能成為企業與高風險個人用戶的標配。然而，這也凸顯資安防禦始終落後於攻擊的困境，唯有建立主動威脅狩獵能力，才能在新漏洞被大規模利用前及時發現。

政府網路武器外洩爭議再起

Coruna事件爆發的時機，正值美國政府內部對AI軍事化與網路武器管制出現激烈辯論。美國總統川普近期指示所有聯邦機構停止使用Anthropic的人工智慧技術，並公開譴責該公司對軍事應用設下「過度嚴苛的限制」。Anthropic已因拒絕配合特定軍事專案而被列入政府黑名單，這顯示美國行政部門正積極尋求將民間AI技術納入國防體系。

同時，美國戰爭部與OpenAI達成歷史性協議，將後者的AI工具部署於五角大廈機密系統。這項合作附帶嚴格條款，包括禁止國內大規模監控、要求對武力使用進行人工監督等。然而，Coruna的案例顯示，即便是受控管的政府技術，也可能透過未知管道外洩，這讓OpenAI員工與公民團體對軍事合作計畫更加憂心。

Google與OpenAI內部已出現員工串聯反對軍事AI合約的聲浪。他們主張科技公司應堅守科技倫理底線，避免技術被用於戰爭與監控。Coruna的濫用史正是他們最擔心的劇本：政府開發的攻擊工具最終落入惡意行為者手中，反噬公民社會。這場爭議不僅關乎企業社會責任，更涉及國家安全政策的根本矛盾——如何在維持攻擊能力與防止技術擴散之間取得平衡。

對台灣而言，這起事件提供重要啟示。在全球地緣政治緊張局勢下，台灣不僅要防範來自特定國家的直接攻擊，更要警惕第三方外洩工具造成的間接威脅。政府應建立更完善的漏洞通報機制，並與國際資安社群保持緊密合作，才能在第一時間掌握威脅情資。同時，推動關鍵基礎設施業者導入零信任架構，降低單一漏洞被利用後的擴散風險，將是未來資安政策的重點方向。