美国政府可能使用的iPhone黑客工具落入外国间谍与犯罪分子之手
谷歌安全团队于周二发布报告,披露一个名为“Coruna”的高度精密iPhone黑客工具,该工具包含五种完整的攻击技术,可绕过iPhone所有安全防御,仅需用户访问包含恶意代码的网站即可静默植入恶意软件。
Coruna利用23个iOS系统漏洞,攻击范围涵盖苹果Webkit浏览器框架,主要影响iOS 13至17.2.1版本系统。谷歌指出,该工具代码复杂度极高,极可能由国家支持的黑客组织开发。报告追溯其使用轨迹:2024年2月,该工具被发现由某“监控公司客户”部署;同年7月,疑似俄罗斯间谍组织将其嵌入乌克兰网站的访客计数器中实施间谍活动;近期,该工具又被用于针对中文用户加密货币和赌博网站的犯罪攻击,窃取用户资产。
移动安全公司iVerify分析认为,Coruna代码特征与2023年针对俄罗斯卡巴斯基公司的“Triangulation”攻击高度相似,而俄罗斯政府曾指控该攻击源于美国NSA。iVerify联合创始人Rocky Cole指出,Coruna代码由英语开发者编写,结构专业、模块化,且具备政府级工具特征,极可能为美国政府或其承包商所开发。
谷歌未披露原始“客户”身份,但指出Coruna已在多个黑客组织间流转,形成“二手零日漏洞”市场。iVerify与合作伙伴通过分析命令与控制服务器流量,估算仅在针对中文用户的犯罪活动中,约4.2万台设备已被感染。苹果已在iOS 26中修复相关漏洞,Coruna不会攻击启用了“锁定模式”的设备。
iVerify首席产品官Spencer Parker指出,犯罪团伙在Coruna基础上添加的恶意代码“编写粗糙”,而原始工具则“极为专业”。Cole强调,该工具由“单一作者”编写,非拼凑而成。他推测,该工具可能经由零日漏洞中介商转手,最终流入非西方买家。此前,美国承包商Trenchant高管Peter Williams因向俄罗斯零日漏洞中介出售工具被判七年监禁,凸显该黑市的存在与风险。
谷歌与苹果均未对报告发表进一步评论。
编辑点评
此事件标志着政府级网络攻击工具首次被证实从美国情报系统流出,进入间谍与犯罪领域,具有重大国际安全意义。Coruna的传播路径——从美国政府潜在工具,经俄罗斯间谍,再到针对中文用户的犯罪团伙——揭示了零日漏洞黑市的全球性与危险性。这种工具的扩散已不仅是技术问题,而是涉及国家间安全博弈、网络军备竞赛与全球数字主权的深层议题。
其影响远超单一攻击事件。首先,它暴露了美国政府与承包商在零日漏洞管理上的潜在漏洞,挑战了其“负责披露”政策的可信度。其次,若该工具确由NSA或类似机构开发,其流入非西方国家和犯罪组织,将极大提升全球网络攻击的威胁等级,尤其对依赖iOS生态的国家构成系统性安全风险。
从地缘政治角度看,俄罗斯与美国在网络安全领域的相互指责将因此类事件持续升级。同时,中国用户成为主要攻击目标,凸显了西方情报机构与犯罪组织对亚太地区数字资产的觊觎。长远来看,这可能推动各国加速自主安全技术发展,收紧对零日漏洞交易的监管,甚至促发国际网络武器控制机制的讨论。
此事件堪比2017年EternalBlue工具泄露,已成为移动安全领域的“分水岭”。随着智能手机成为个人与国家数字身份的核心载体,此类高级持续性威胁的扩散,或将重塑全球网络安全格局。各国政府必须重新评估其对零日漏洞的采购、存储与使用策略,防止“技术优势”意外转化为“系统性风险”。