Google威脅情報組揭iOS嚴重漏洞 簡單JavaScript字串竊取舊機資料緊急更新

Google威脅情報小組近日揭露iOS系統存在關鍵性漏洞「Coruna」鏈，涉及23個高風險安全缺陷。攻擊者僅需透過網頁載入特定JavaScript字串，即可入侵舊款iPhone竊取通訊錄、銀行帳戶及加密貨幣錢包等敏感資料。此漏洞自2023年底Apple在iOS 17修復後，未為無法升級的舊機提供補丁，導致iPhone 6s至iPhone X等型號用戶面臨持續威脅。現因Google公開警告，Apple緊急推出iOS 15.8.7與iOS 16.7.15安全更新，呼籲用戶立即升級以阻斷攻擊。此事件凸顯手機安全更新對長者及兒童用戶的關鍵性，也反映企業在舊裝置維護上的長期挑戰。

漏洞技術細節：JavaScript框架的隱蔽入侵機制

Coruna漏洞鏈的核心在於其精巧的JavaScript框架設計，攻擊者無需複雜操作即可觸發全面入侵。該框架使用簡單但具辨識度的混淆技術，例如將數字陣列[16, 22, 0, 69, 22, 17, 23, 12, 6, 17]透過map(x => String.fromCharCode(x ^ 101))轉換為可執行代碼，生成如i.p1=(1111970405 ^ 1111966034)的指令。當裝置的WebKit引擎載入此代碼，會自動啟動指紋辨識模組，收集裝置型號、iOS版本等數據，並針對性載入對應的WebKit遠端程式碼執行（RCE）漏洞程式。此過程完全繞過指標認證碼（PAC）防護，使攻擊者能在無需用戶互動的情況下取得裝置完全控制權。Google於2025年2月截獲監控公司首次使用此框架的程式碼，後續發現其被整合至多個惡意網站，透過「水坑攻擊」（Watering Hole Attack）策略，當用戶訪問特定網頁時自動觸發入侵。此技術特點在於其低門檻性——攻擊者甚至無需編寫完整惡意軟體，僅需嵌入一段JS字串即可實現大規模竊取，大幅降低犯罪門檻。

漏洞蔓延與全球影響：從烏克蘭網站到中國金融詐騙

Coruna漏洞鏈的應用已形成跨區域攻擊網絡，2025年夏季被植入大量烏克蘭網站，專門針對烏克蘭境內iPhone用戶推送惡意內容，Google威脅情報小組隨即與烏克蘭國家電腦事件應變小組（CERT-UA）合作，將相關網站標示為高風險。至2025年底，攻擊者更轉向金融領域，透過偽裝成銀行或加密貨幣平台的網站，利用廣告誘導用戶點擊訪問，竊取用戶的銀行帳戶資訊與數位錢包私鑰。這些網站多以「投資優惠」或「帳戶驗證」為誘餌，針對iOS 13至16版本的舊機用戶發送流量，因長者及兒童用戶較少更新系統，成為主要目標。據安全公司統計，此類攻擊已導致全球超過200萬台舊iPhone受影響，尤其在東歐與亞洲地區案例頻傳。Apple長期未為無法升級至iOS 17的裝置提供安全更新，使這些用戶暴露在無防禦狀態，突顯企業在產品生命週期管理上的疏失。此次事件也暴露監控產業的黑市交易，攻擊框架被視為「即插即用」型工具，加速了網路犯罪的擴散。

用戶緊急應對措施：升級步驟與安全防護建議

面對此緊急威脅，用戶需立即檢查並更新裝置至最新安全版本。首先開啟「設定」>「通用」>「軟體更新」，若裝置型號為iPhone 6s、7、SE、8、8 Plus或X，系統將顯示iOS 15.8.7或16.7.15的更新選項。更新過程需確保裝置電量充足（建議超過50%），並連接穩定Wi-Fi，避免中斷導致系統損壞。Apple官方強調，此次更新專為無法升級至iOS 17的舊機設計，與過去「僅支援新機」的政策不同，體現對用戶安全的重視。此外，用戶應避免點擊可疑連結，尤其金融相關廣告，可透過「設定」>「Safari」>「內容擷取」關閉自動載入外部內容。長者用戶建議由家人協助操作，並啟用「設定」>「面容ID與密碼」的「停用自動登入」功能，增加額外防護層。安全專家呼籲，手機使用者應每3個月檢查一次系統更新，並安裝可靠防毒軟體如Malwarebytes，以應對未來潛在漏洞。Apple也承諾將持續監測Coruna漏洞鏈的變種，並在未來更新中強化WebKit引擎的沙箱機制，降低類似攻擊風險。此事件更凸顯手機安全更新的必要性，提醒用戶勿因「裝置老舊」而忽略系統維護，否則將面臨資料外洩與財產損失的高風險。