Google розкрив уразливість WebKit Apple: впливає на iOS 13~17.2.1, близько 4.2 тис. iPhone стали "банкоматами"

IT之家3月4日消息，谷歌今天（3月4日）发布博文，披露代号为Coruna的iPhone破解工具套件，可影响运行iOS13~17.2.1的iPhone机型，相关证據表明已流入外国間諜及網絡犯罪分子手中。

谷歌指出該破解工具套件目前僅針對iOS13.0版本（2019年9月發布）至17.2.1版本（2023年12月發布）有效，蘋果公司已在iOS18版本中修復。

Coruna工具套件包含5個完整的iOS漏洞利用鏈，共計23個漏洞利用程序，其核心價值在於集成了多種非公開的漏洞利用技術和緩解措施繞過手段。

IT之家援引博文介紹，附上谷歌威脅情報小組（GTIG）發現情況如下：

• 2025年年初首次發現該工具包的蹤跡，當時被用於發起定向攻擊；
• 同年夏季，有證據表明間諜組織UNC6353利用該工具包發動了“水坑攻擊”，通過植入compromised網站的隱蔽iFrame分發惡意代碼；
• 2025年年底，UNC6691在大規模行動中部署了同一工具包。攻擊者構建了大量涉及金融和加密貨幣交易的虛假網站，誘導用戶使用iOS設備訪問，通過觸發漏洞竊取資產。

在技術架構方面，Coruna工具套件利用JavaScript框架進行設備指紋識別，隨後投放WebKit遠程代碼執行（RCE）漏洞和指針身份驗證代碼（PAC）繞過攻擊。

攻擊鏈末端載荷名為“PlasmaLoader”（被GTIG追蹤為PLASMAGRID），它會注入系統進程並掃描設備上的加密貨幣錢包應用（如MetaMask、Trust Wallet等），竊取助記詞和私鑰。

數據顯示，僅在牟利性攻擊中，就有約4.2萬台設備遭入侵，被用於竊取加密貨幣及隱私數據。代碼分析顯示，該工具核心編寫極其專業，推測為單一作者開發。

針對這一威脅，谷歌已將所有相關網站和域名添加至“安全瀏覽”攔截列表。GTIG強調，Coruna工具包無法攻破iOS的最新版本。因此，iPhone用戶應立即將設備更新至最新的iOS版本以消除風險。