Google示警舊版iOS漏洞 疑似美國政府駭客工具外流遭利用攻擊

Google威脅情報團隊（Google Threat Intelligence Group, GITG）於近日發布重大資安研究報告，揭露一款名為「Coruna」的駭客工具正被廣泛用於攻擊舊版蘋果iOS作業系統。這款工具主要鎖定2019年至2023年間發布的iOS 13.0至17.2.1版本，影響範圍涵蓋數億支iPhone裝置。研究團隊高度懷疑，Coruna極可能是源自美國政府機構開發的網路攻擊框架，現已透過不明管道外流至駭客組織手中。Google最初在監控一家商業間諜軟體廠商時意外發現此工具包，後續追蹤更發現疑似俄羅斯國家級駭客及中國金融犯罪集團皆曾利用相同工具對烏克蘭用戶發動攻擊。儘管目前尚不清楚駭客取得工具的確切途徑，但專家推測可能存在活躍的「二手零日漏洞」地下交易市場，讓政府級攻擊武器淪為犯罪工具。Google已強烈建議所有iPhone用戶立即將裝置更新至最新iOS版本，以阻絕此類攻擊威脅。

漏洞攻擊範圍與影響時程

Coruna工具包的攻擊目標明確鎖定蘋果行動作業系統的特定版本區間，從iOS 13.0至iOS 17.2.1的裝置皆在其攻擊範圍內。這段版本橫跨四年時間，涵蓋了從iPhone 6s到iPhone 15系列的多款機型，影響層面極為廣泛。Google威脅情報團隊在報告中詳細說明，他們最初是在監控某家商業監控軟體開發商的不法活動時，首次察覺到這個漏洞利用工具包的存在。該廠商原本試圖將此工具用於客戶委託的非法手機入侵任務，但隨著調查深入，Google發現情況遠比單一廠商更為複雜。

根據後續的網路流量分析與攻擊特徵比對，研究人員發現至少兩個不同背景的黑客組織也曾使用過完全相同的Coruna工具包。其中一個組織被研判為俄羅斯國家支持的駭客團體，主要針對烏克蘭地區的政府官員與軍事相關人士發動攻擊；另一個則是活躍於中國境內的金融犯罪駭客集團，利用此工具竊取受害者手機內的銀行資訊與加密貨幣錢包資料。這種跨國界、跨犯罪類型的工具共享現象，顯示Coruna已經從原本可能受限的政府用途，徹底淪為地下駭客市場的流通商品。

值得注意的是，這款工具對於iOS 17.3之後的版本完全無效，這也間接證明瞭蘋果在後續更新中已經修補了相關漏洞。Google團隊特別強調，整起事件的時間軸顯示，從工具開發完成到被發現外流，中間可能經歷了數個月的空窗期，這段期間足以讓駭客組織建立完整的攻擊鏈與受害名單。此外，由於許多用戶習慣延遲更新系統，或是因裝置老舊無法升級，這些停留在舊版iOS的裝置便成為駭客眼中極易下手的目標。

工具來源與外流途徑成謎

關於Coruna工具的原始開發者身份，Google報告中雖未直接點名特定美國政府機構，但多項技術特徵與開發模式都指向國家級網路武器開發單位。研究人員發現，該工具的程式碼結構異常複雜，漏洞利用鏈設計精密，且具備反鑑識與自我銷毀機制，這些都是典型政府級網路攻擊框架才會具備的高階特徵。更令人擔憂的是，Google團隊坦言目前仍無法確定駭客究竟透過何種管道取得這套工具，這凸顯了當前零日漏洞交易市場的透明度嚴重不足。

專家推測，最可能的情況是存在一個活躍的二手零日漏洞與攻擊工具交易市場，政府機構或承包商開發的攻擊武器在退役或外洩後，輾轉流入私人駭客集團手中。這種「武器擴散」模式在網路安全領域並非首例，過去美國國家安全局（NSA）開發的EternalBlue工具包外洩後，便成為WannaCry勒索病毒全球大爆發的關鍵武器。Coruna的案例再次證明，即便是最高機密的政府網路武器，一旦脫離管控，便可能對全球資安環境造成難以估計的連鎖破壞。

此外，研究人員也提出另一種可能性：部分掌握這些工具的政府外包廠商或離職人員，可能因為利益誘惑而將技術私下販售給地下駭客組織。這種「內賊」模式在近年來的資安事件中屢見不鮮，特別是當網路攻擊能力逐漸產業化、市場化之後，相關技術的保密難度也隨之大幅提高。Google團隊在報告中呼籲，各國政府應建立更嚴格的網路武器管控機制，並對外包廠商實施更嚴密的資安稽核，以防止類似事件重演。

資安業者證實並追溯政府關聯

行動安全網站iVerify在同日發布的部落格文章中，獨立證實了Coruna工具包的存在，並提出更為明確的指控。iVerify研究人員表示，他們掌握的「直接證據」顯示，這套工具極可能是外洩的美國政府網路攻擊框架，其技術架構與開發風格與NSA過去的專案高度吻合。iVerify更進一步指出，Coruna與當年震撼全球的EternalBlue工具包在程式碼邏輯、漏洞利用手法甚至註解風格上都存在驚人相似之處，這絕非巧合。

iVerify分析師在報告中強調，這是有紀錄以來首次發現犯罪集團大規模利用國家級iOS漏洞攻擊工具的案例。過去雖然也有政府開發的攻擊工具外洩，但多半侷限於Windows或Android平台，iOS由於其封閉性與高度安全性，一直被視為最難攻破的堡壘。如今連iOS專用的政府級攻擊工具都流入黑市，代表行動裝置安全的威脅版圖已經出現根本性轉變。iVerify警告，這可能引發連鎖效應，促使更多駭客組織投入資源收購或開發類似的iOS攻擊工具。

該公司也揭露了Coruna工具的攻擊流程細節。駭客通常會透過釣魚簡訊或惡意網站引誘受害者點擊連結，一旦用戶使用受影響的iOS版本開啟連結，工具便會在背景靜默執行，無需任何額外操作即可取得手機最高權限。攻擊成功後，駭客能夠竊取通訊錄、簡訊、照片、定位資料，甚至啟動麥克風與鏡頭進行監控。整個過程完全無痕，受害者手機不會出現任何異常現象，這種隱蔽性正是政府級工具最令人畏懼的特點。

國際政治與網路安全政策角力

Coruna工具外洩事件的曝光時機，恰好與美國政府內部的網路安全政策爭議重疊。就在Google發布報告前夕，美國總統川普已簽署行政命令，指示所有聯邦機構立即停止使用Anthropic公司的人工智慧技術，並公開譴責該公司對其AI技術在合法軍事應用上設下過度嚴苛的限制。此舉導致Anthropic被實質列入政府黑名單，凸顯美國官方對於民間科技業者在國家安全議題上的不信任感升溫。

與此同時，美國戰爭部卻與OpenAI達成戰略協議，將後者的AI工具部署於五角大廈的機密系統中。這項合作附帶了若干條件，包括禁止用於國內大規模監控、必須對武力使用維持人工監督等。這種「一邊封殺、一邊合作」的矛盾政策，反映出美國政府在網路武器與新興科技管制上的混亂局面。批評者指出，當政府連自身開發的傳統網路攻擊工具都無法有效管控時，卻急於將更難以預測的AI技術納入軍事體系，無疑是將全球資安風險推向更高層次。

更宏觀來看，Coruna事件也牽動了國際間關於網路武器擴散條約的討論。聯合國裁軍委員會近年來多次提案，要求各國對網路攻擊工具的開發、儲存與轉移建立國際監督機制，但始終因為主要大國的利益衝突而無法達成共識。美國作為全球最大的網路武器開發國之一，其工具外洩事件無疑削弱了其在國際談判中的道德正當性。另一方面，俄羅斯與中國駭客組織能夠取得美國工具，也讓人質疑這些國家是否正在建立「攻擊工具蒐集與逆向工程」的能力，以便在未來衝突中「以彼之道還施彼身」。

台灣用戶因應與產業深層省思

對於台灣的iPhone用戶而言，Coruna工具包的威脅並非遙不可及。Google在報告中特別點名台灣，提醒本地用戶應提高警覺，因為台灣不僅是iPhone高普及率地區，更因地緣政治因素成為中國駭客組織的重點攻擊目標。資安專家建議，用戶應立即檢查手機系統版本，只要裝置仍在iOS 17.2.1或更早版本，就必須馬上透過「設定」>「一般」>「軟體更新」升級至最新版iOS。對於無法升級的舊款iPhone，專家則建議應限制手機處理敏感資訊，並避免點擊來路不明的連結。

企業與政府機關的因應措施則更為複雜。許多台灣企業仍採用自帶裝置（BYOD）政策，允許員工使用個人iPhone處理公務，這使得Coruna類型的攻擊可能成為竊取商業機密的捷徑。資安廠商建議，企業應立即強制要求所有連入公司網路的iOS裝置必須升級至安全版本，並部署行動裝置管理（MDM）系統以監控異常行為。政府單位則應檢討公務用手機的汰換政策，避免因預算限制而讓老舊裝置成為國家資安漏洞。

更深層的省思在於，這起事件暴露了現代數位供應鏈的脆弱性。從美國政府外包廠商、地下駭客市場、俄羅斯間諜組織到中國金融犯罪集團，Coruna工具包跨越了國家、法律與道德的邊界，形成一條完整的非法產業鏈。台灣作為全球科技供應鏈的核心，不僅要防範成為攻擊目標，更需警惕是否無意中成為這類工具流通的管道。未來在制定資安政策時，除了強化防禦能力，也必須積極參與國際合作，共同打擊網路武器非法交易，才能從根本上降低此類風險。