【iOS 漏洞利用工具包包含 23 种攻击手段——但锁定模式可以全面阻止】

Google 威胁情报小组 (GTIG) 发布了一份最新报告，揭露了一款名为“Coruna”的强大 iOS 漏洞利用工具包。该工具包从一家监控供应商的客户流传到俄罗斯间谍组织，最终落入中国网络犯罪分子手中，在此过程中揭示了一条复杂的漏洞利用“供应链”。

Coruna 被誉为公开记录的最全面的 iOS 漏洞利用工具包之一，对运行 iOS 13.0 至 iOS 17.2.1 的 iPhone，包含跨越四年 iOS 版本的 23 个漏洞。

GTIG 表示，该漏洞最早于 2025 年 2 月被发现，当时一家商业监控供应商的客户使用了该漏洞。到 2025 年夏季，同样的漏洞框架出现在水坑攻击（攻击者入侵目标用户可能访问的网站）中，疑似俄罗斯间谍组织针对乌克兰用户发起了此类攻击。

随后，在 2025 年底，一名位于中国的、以牟利为目的的黑客将该漏洞利用工具包部署在一个庞大的虚假金融和加密货币网站网络中。GTIG 表示，目前尚不清楚该漏洞利用工具包是如何在黑客之间传播的，但这表明存在一个活跃的“二手”Zero-Day 漏洞交易市场。

至于工具包的内容，据称设计极其精良。当用户访问受感染的网站时，它会识别用户使用的 iPhone 型号和软件版本，然后选择针对该设备的特定攻击方式。但如果用户开启了 Apple 的锁定模式，该工具包就会失效——甚至不会尝试攻击。

攻击代码经过强加密处理，安全研究人员难以拦截和分析，并且采用了开发者自行设计的自定义格式。根据 GTIG 分析，该代码还包含用英文编写的详细注释，说明了其工作原理，并使用了此前从未公开过的攻击技术。

该工具包针对加密货币钱包和金融数据，能够入侵 18 种不同的加密货币 app，窃取钱包凭证。其有效载荷可以解码磁盘图像中的二维码，还包含一个用于分析文本块的模块，以查找 BIP39 单词序列或诸如“备份短语”或“银行账户”之类的特定关键词。它甚至可以扫描 Apple 备忘录以查找常见的助记词。

仍在使用 iOS 17.2.1 或更早版本的用户可能容易受到该漏洞利用工具包的攻击，该工具包无法在新版本 iOS 系统上运行，因此请务必尽快更新。此外，Apple 的锁定模式有效地抵御了这种强大的漏洞利用工具包，这对启用该模式的用户来说无疑是个好消息。