Google Threat Intelligence 團隊近日披露,一套名為「Coruna」的高階 iOS 漏洞利用套件,自 2025 年起已被多個攻擊者重複使用,針對 iOS 13 至 iOS 17.2.1 的 iPhone 展開長期網絡攻擊行動,涉及 5 條完整攻擊鏈、合共 23 個漏洞,當中包括多個曾被用作零日攻擊的 WebKit、Sandbox 及核心漏洞,並廣泛用於間諜活動及假加密貨幣網站誘騙,用作竊取用戶加密貨幣錢包與敏感資料。
報告指出,Coruna 最初被觀察到由某間商業監控商的客戶使用,後來在 2025 年夏天被疑似俄羅斯間諜組織 UNC6353 用於入侵多個烏克蘭本地網站,再透過隱藏 iFrame 針對指定地區 iPhone 用戶投放攻擊;到年底,則被中國財務誘騙集團 UNC6691 改作大規模釣魚活動,利用假冒交易所網站引人用 iPhone 開啟頁面,一旦系統版本符合條件,便會自動載入 WebKit RCE、PAC bypass、sandbox escape 及核心得權漏洞,最終安裝後門程式「PlasmaLoader」,搜集備份詞語、銀行帳戶等關鍵字,並攔截多款加密錢包 App 的資料,反映高階攻擊工具已出現「二手市場」,由國家級攻擊擴散至財務犯罪集團。
Apple 呼籲舊 iPhone / iPad 用戶儘快更新
配合 Google 公佈的分析,Apple 亦在官方「Apple security releases」頁面更新多項安全修補,以應對包括 Coruna 利用在內的一系列 iOS 漏洞。最新一輪於 2026 年 3 月 11 日推出的更新,為 iPhone 8、iPhone 8 Plus、iPhone X 及多款舊款 iPad 提供 iOS/iPadOS 16.7.15,而 iPhone XS、XS Max、XR 及第 7 代 iPad 則獲得 iOS/iPadOS 15.8.7;較新的裝置早前已在 3 月 4 日收到 iOS 26.3.1 更新。
Apple 一貫不會在修補程序推出前披露漏洞細節,今次在版本說明中亦未列出 CVE 清單,但在安全頁面重申「保持裝置更新是保障安全最重要的步驟之一」,並指出 Coruna 套件在最新 iOS 版本已無法生效。Google Threat Intelligence 亦呼籲,所有仍停留在 iOS 16.7.x、15.8.x 或更舊版本的用戶,應盡快升級至各自硬件可支援的最新版本;如裝置已無法再更新,建議啟用 iOS 的「鎖定模式」(Lockdown Mode),以降低遭到高階攻擊工具入侵的風險。
