3 月 4 日消息,谷歌今天(3 月 4 日)发布博文,披露代号为 Coruna 的 iPhone 破解工具套件,可影响运行 iOS 13~17.2.1 的 iPhone 机型,相关证据表明已流入外国间谍及网络犯罪分子手中。
谷歌指出该破解工具套件目前仅针对 iOS 13.0 版本(2019 年 9 月发布)至 17.2.1 版本(2023 年 12 月发布)有效,苹果公司已经在 iOS 18 版本中修复。
Coruna 工具套件包含 5 个完整的 iOS 漏洞利用链,共计 23 个漏洞利用程序,其核心价值在于集成了多种非公开的漏洞利用技术和缓解措施绕过手段。
援引博文介绍,附上谷歌威胁情报小组(GTIG)发现情况如下:
2025 年年初首次发现该工具包的踪迹,当时被用于发起定向攻击;
同年夏季,有证据表明间谍组织 UNC6353 利用该工具包发动了“水坑攻击”,通过植入 compromised 网站的隐蔽 iFrame 分发恶意代码。
2025 年年底,UNC6691 在大规模行动中部署了同一工具包。攻击者构建了大量涉及金融和加密货币交易的虚假网站,诱导用户使用 iOS 设备访问,通过触发漏洞窃取资产。
在技术架构方面,Coruna 工具套件利用 JavaScript 框架进行设备指纹识别,随后投放 WebKit 远程代码执行(RCE)漏洞和指针身份验证代码(PAC)绕过攻击。
攻击链末端载荷名为“PlasmaLoader”(被 GTIG 追踪为 PLASMAGRID),它会注入系统进程并扫描设备上的加密货币钱包应用(如 MetaMask、Trust Wallet 等),窃取助记词和私钥。
数据显示,仅在牟利性攻击中,就有约 4.2 万台设备遭入侵,被用于窃取加密货币及隐私数据。代码分析显示,该工具核心编写极其专业,推测为单一作者开发。
针对这一威胁,谷歌已将所有相关网站和域名添加至“安全浏览”拦截列表。GTIG 强调,Coruna 工具包无法攻破 iOS 的最新版本。因此,iPhone 用户应立即将设备更新至最新的 iOS 版本以消除风险。
