政府级iPhone黑客工具被犯罪分子滥用 安全研究揭示“二手漏洞”市场风险
安全研究人员发现一套名为Coruna的政府级黑客工具已流入网络犯罪分子手中,该工具可绕过iPhone安全机制,通过访问恶意网站实现攻击。
谷歌于2025年2月首次发现该工具被用于政府客户委托的间谍行动,此后在针对乌克兰用户的俄罗斯间谍活动以及中国境内以牟利为目的的黑客攻击中均发现其踪迹。该工具通过链式利用23个漏洞,以五种方式入侵iPhone,影响范围涵盖iOS 13至17.2.1系统(2023年12月发布版本)。
移动安全公司iVerify对工具进行逆向工程,指出其与美国政府先前使用的黑客框架高度相似,认为该工具可能源自美国政府。iVerify强调:“使用越广泛,泄露风险越高,这些工具最终将落入非国家行为体之手。”
谷歌指出,该工具采用“水坑攻击”(watering hole attack)方式,用户只需点击恶意链接即可被入侵。此前,Wired报道该工具与2023年Operation Triangulation行动相关,俄罗斯网络安全公司卡巴斯基当时称美国政府曾试图攻击其员工的iPhone。
此类工具泄露并非首次。2017年,NSA开发的EternalBlue漏洞被窃取后用于WannaCry勒索软件攻击,影响全球。近期,前美国国防承包商L3Harris Trenchant负责人彼得·威廉姆斯因出售八项漏洞给与俄罗斯政府相关的掮客,被判处七年多监禁。至少一项漏洞被售予韩国掮客,但尚不清楚是否已通报软件厂商并完成修补。
专家警告,国家层面的漏洞工具一旦泄露,将催生“二手漏洞”市场,加剧全球网络安全威胁。
编辑点评
此次Coruna工具的泄露事件凸显了国家情报机构在数字间谍活动中面临的双重风险:一方面,这些工具本用于合法监控,但一旦流入黑市,便可能被用于大规模网络犯罪或地缘政治攻击。从乌克兰到中国,不同地区、不同动机的攻击者使用同一套工具,说明漏洞武器化已形成全球产业链。
美国政府与私营安全公司之间的技术协作模式,使得漏洞开发与部署边界模糊,增加了监管与溯源难度。iVerify指出的‘美国政府关联’虽无确凿证据,但技术特征相似性构成强烈暗示,这反映出美国在数字霸权下的技术扩散风险。
该事件与2017年EternalBlue泄露事件形成历史呼应,表明漏洞经济已从‘一次使用’转向‘多次转售’的商业模式。随着AI加速漏洞挖掘与武器化,‘二手漏洞’市场将更活跃,全球供应链安全、个人隐私保护面临系统性挑战。
未来,各国政府可能需重新评估‘零日漏洞’(zero-day)保留与披露政策,同时加强漏洞交易的国际监管框架,以遏制此类工具的跨境滥用。