Google 披露iOS 漏洞鏈「Coruna」，23個嚴重漏洞，可竊取銀行帳戶 - Yahoo新聞

近期，Google 威脅情報小組披露了名為「Coruna」的 iOS 漏洞鏈，總共涉及23個嚴重安全漏洞。

據 Google 披露，漏洞鏈的利用方式極為隱蔽，攻擊者將惡意代碼給整合至 JavaScript 框架中，只要用戶通過 Safari 瀏覽器訪問被感染的網站，WebKit 引擎便會自動加載該代碼，瞬間入侵裝置。

Google 的報告中展示了攻擊者使用的混淆代碼片段，裡面為簡單的字符轉換數組和異或運算，技術門檻較低，從而增加了檢測難度。

攻擊分為兩個階段，首先是啓動指紋辨識模塊，然後收集裝置型號、iOS 版本等資料。隨後根據目標特徵加載對應的 WebKit 遠程代碼執行漏洞程式，繞過 Apple 的指針認證碼（PAC）防護機制，從而獲取用戶的銀行帳戶、加密貨幣錢包等核心私隱數據。

值得一提的是，Google 於2025年2月首次截獲某監控公司使用 Coruna 漏洞鏈的證據。同年夏季，漏洞鏈便被大規模植入烏克蘭網站，並向特定地理區域的 iPhone 用戶進行定向推送。同年年底則是偽裝成金融網站的釣魚頁面，誘導用戶訪問，從而實施財產竊取。

Apple 在2023年底的 iOS 17 及後續版本中進行了漏洞安全漏洞修復，但未向無法升級系統的舊機型提供修復檔。

Apple 的做法導致 iPhone 6s、iPhone SE、iPhone X 等舊機型無法受到保護，並且舊裝置被大量的年長者和兒童使用，導致受害案例持續激增。一直到近三年來，Apple 才開始發佈 iOS 15.8.7 與 iOS 16.7.15 更新進行修復。