Google 揭露「Coruna」漏洞工具包 政府級 iPhone 黑客技術外流

政府級 iPhone 攻擊工具外流：深入分析 Coruna 漏洞鏈對 iOS 用戶嘅威脅

網絡安全世界最近爆出一粒震撼彈。Google 威脅情報小組（Threat Intelligence Group）同流動設備安全公司 iVerify 發布咗一份聯合報告，詳細拆解咗一個叫做「Coruna」嘅複雜漏洞利用工具包（Exploit Kit）。呢套工具之所以引起咁大關注，係因為佢唔係一般黑客小打小鬧嘅作品，而係極大機會由國家級政府開發嘅技術外洩而成，目前已經落入民間犯罪集團手中。

對於香港呢個 iPhone 普及率極高，而且好多人會用手機處理金融資產、加密貨幣嘅城市嚟講，了解呢類技術嘅威脅同埋防禦方法，絕對唔係「杞人憂天」，而係資訊時代嘅生存技能。

乜嘢係 Coruna？點解呢件事咁嚴重？

簡單嚟講，「Coruna」係一個整合咗多個系統漏洞嘅「全自動攻擊套餐」。根據 Wired 報導，Google Cloud 博客揭示咗呢套工具包含咗 5 組完整嘅 iOS 攻擊鏈，總共利用咗 23 個安全性漏洞（CVEs）。

其嚴重性主要體現喺以下三點：

• 技術降維打擊： 以前呢類「政府級」技術通常只係用嚟針對政治敏感人物、記者或者極端分子；依家技術外流，普通用戶都可能成為受害者。
• 全自動化： 用戶只要入咗個陷阱網頁，系統就會自動偵測手機版本，挑選最合適嘅漏洞進行入侵，成個過程用戶完全唔會發覺。
• 針對舊系統： 雖然最新嘅 iOS 已經修補咗大部分漏洞，但全球仍有大量舊型號 iPhone 或未更新嘅用戶正處於危險之中。

揭開 Coruna 嘅運作機制：23 個漏洞點連環攻擊？

Coruna 唔係單純嘅病毒，佢係一種「連鎖反應」。要攻破 iPhone 呢種高度安全嘅系統，單靠一個漏洞係好難做到嘅，所以黑客會將多個漏洞串連埋一齊。

攻擊流程拆解

1. 「水坑攻擊」（Watering Hole Attack）：黑客會先入侵一啲特定人群常去嘅合法網站，或者整一啲假嘅加密貨幣平台。當你用 iPhone 嘅瀏覽器（好似 Safari）去睇呢啲網頁，攻擊就正式開始。
2. 指紋偵測（Device Fingerprinting）：網頁背景會跑一段隱藏嘅 JavaScript 代碼，喺你完全唔知情嘅情況下，檢查你部手機係咩型號、用緊邊個版本嘅 iOS，同埋有無開一啲安全設定。
3. 漏洞鏈觸發：如果偵測到你部機係 iOS 13 至 iOS 17.2.1 之間，Coruna 就會根據版本「配對」合適嘅攻擊包。佢會先攻破瀏覽器嘅沙盒（Sandbox）限制，再逐步攞到系統嘅核心（Kernel）權限。
4. 安裝惡意模組：攞到最高權限（Root Privilege）之後，黑客就可以隨意喺你部機裝嘢。目前觀察到嘅 Payload（有效載荷）主要係針對加密貨幣錢包，會搵出你部機入面嘅私鑰（Private Keys）或者助記詞（Seed Phrases）。

分析 Coruna 嘅背景：政府級技術點樣「流落民間」？

呢次事件最令安全專家擔憂嘅係，iVerify 嘅報告指出 Coruna 嘅代碼基礎同美國政府曾經用過嘅黑客工具非常相似。

點解會流出？

喺網絡安全界，有一種講法叫「技術擴散」。當一個國家開發出一套高級黑客工具，呢啲工具好可能會因為內部洩漏、或者喺實戰中被對手捕捉到並逆向工程而外傳。

iVerify 表示，Coruna 係目前觀察到第一宗由犯罪集團大規模使用「疑似國家開發工具」去攻擊一般 iOS 用戶嘅個案。報告仲提到，目前見到呢套工具已經被一啲同俄羅斯或者中國有關聯嘅網絡犯罪份子採用。呢種「軍事級技術民用化」嘅趨勢，令到一般網絡罪案嘅技術層次提升咗好幾個級數。

受影響對象：需要擔心嗎？

根據目前嘅技術資料，Coruna 嘅威脅範圍係有明確界限嘅，我哋可以從以下幾個層面去分析：

A. 系統版本係關鍵

Coruna 針對嘅係 iOS 13 至 iOS 17.2.1 嘅版本。如果你部 iPhone 已經更新到最新嘅 iOS 18（或者 2026 年最新嘅系統版本），呢套工具入面嘅絕大多數漏洞其實已經被蘋果修補咗。

B. 加密貨幣投資者係首要目標

由於 Coruna 嘅最終目的係「求財」，佢哋會專門針對加密貨幣服務網頁。對於香港呢啲成日用手機玩交易平台、玩 DeFi 或者用 MetaMask 嘅用戶，如果仲用緊舊機或者舊系統，風險會比一般人高好多。

C. 舊型號 iPhone 用戶

一啲已經無得再升級去最新系統嘅舊型號（例如 iPhone 8, iPhone X 等），因為無法獲得最新嘅系統底層保護，會長期暴露喺呢類已知漏洞嘅威脅之下。

兩大核心防線：Lockdown Mode 同私密瀏覽

Google 嘅報告入面有一個好值得注意嘅細節：Coruna 雖然好勁，但佢都有「怕」嘅嘢。

封鎖模式 (Lockdown Mode) 的實測結果

Google 發現，Coruna 喺發動攻擊前會先 check 下部機有無開「封鎖模式」。如果用戶開咗，攻擊腳本就會即刻自動停止（Abort）。

點解會咁？

「封鎖模式」係蘋果為咗對付極端黑客（好似 Pegasus 飛馬間諜軟體）而設嘅。佢會大幅削減手機嘅功能，例如唔畀自動讀取網頁嘅複雜腳本、唔畀陌生人 FaceTime 等等。對於 Coruna 呢類依賴 JavaScript 偵測嘅工具嚟講，Lockdown Mode 就好似一堵厚牆，令佢哋完全無從入手。

私密瀏覽 (Private Browsing)

雖然唔係百分之百防禦，但報告提到喺「私密瀏覽」模式下，部分偵測功能會失效，增加咗黑客攻擊嘅難度。不過，呢個只係輔助性質，唔可以當成正式防禦。

用戶點樣自保？

雖然 Coruna 聽落好得驚，但其實只要有正確嘅保安習慣，普通讀者唔需要過分恐慌。以下係整理出嚟嘅建議措施：

1. 系統更新：治本之法

唔好因為驚「倒水電」或者「部機變慢」就唔更新。Coruna 靠嘅就係你唔更新所留低嘅後門。如果你部機仲支援最新 iOS，請即刻去 設定 > 一般 > 軟件更新。

2. 考慮開啟「封鎖模式」

如果你本身係處理大量敏感資訊（例如公司高層、財務人員）或者持有大額加密貨幣，建議考慮開啟呢個功能。

• 路徑： 設定 > 隱私權與安全性 > 捲到最底搵 封鎖模式。
• 注意： 開咗之後，用 Safari 睇網頁可能會覺得慢咗，或者有啲圖片睇唔到，但換嚟嘅係最高等級嘅安全防護。

3. 定期清理「描述檔」

有啲用戶會為咗裝一啲非官方 App 而安裝「描述檔」（Configuration Profiles）。呢啲係系統權限嘅大漏洞。

• 路徑： 設定 > 一般 > VPN 與裝置管理。如果見到有一啲你唔識嘅管理檔案，請即刻移除。

4. 加密貨幣錢包管理

• 冷熱分離： 大額資產唔好擺喺手機錢包，請使用 Hardware Wallet（冷錢包）。
• 唔好影相： 絕對唔好將助記詞（Seed Phrases）Cap 圖或者存喺手機嘅相簿、雲端或 Notes 入面，因為 Coruna 呢類工具一入侵，第一時間就係搵呢啲關鍵字。

總結

Coruna 漏洞工具包嘅出現，標誌著網絡犯罪進入咗一個「高度專業化」嘅年代。以前我哋以為唔亂㩒 SMS 條 link 就安全，但依家「水坑攻擊」可以令你喺正常瀏覽網頁時中招。

呢件事亦都提醒咗我哋，資訊安全係需要「與時並進」。雖然蘋果已經盡力提供補丁，但最終嘅防守責任仲係喺用戶手上。對於香港讀者嚟講，定期更新系統、保持對新興技術威脅嘅認知，先至係保護個人隱私同財產嘅最有效方案。