Google 与 iVerify 揭露政府级 iPhone 漏洞利用套件向黑客传播

Source: 9to5Mac

Under the hood

正如 Wired 所指出，今天在Google Cloud 博客上发布的一篇文章披露了名为 Coruna 的漏洞利用套件的细节，该套件利用了五条完整的 iOS 漏洞链和 23 项漏洞，以攻击运行 iOS 13 至 iOS 17.2.1 且未打补丁的 iPhone。

从宏观上看，Coruna 漏洞套件通过串联多个漏洞，逐步突破 iPhone 的安全层。攻击者在访问一个恶意站点后，利用隐藏的 JavaScript 检查设备型号、系统版本及其他安全设置，随后可以走多条路径来：

• 绕过核心 iOS 防护
• 获得高权限
• 安装可收集数据或下载额外模块的恶意软件

Google 备注称，漏洞会检查设备是否启用了 Lockdown Mode，如果已启用或用户处于隐私浏览模式，则中止攻击。

需要说明的是，该漏洞套件针对运行旧版 iOS 的 iPhone，对最新系统版本无效。这也是保持设备更新的重要原因之一。

想更深入了解 Coruna 的工作原理以及针对 iOS 13 至 iOS 17.2.1 各版本的完整漏洞列表（包括可用的 CVE 编号），请参阅 Google Cloud 博客上的完整文章。

Behind the scenes

与 Google 的文章同步，移动安全公司 iVerify 也在发布了一份报告 ，对 Coruna 的可能来源提供了更多背景信息。

根据对该框架的逆向工程，iVerify 表示 Coruna 似乎建立在与已知美国政府黑客工具相同的基础上。

这是首次观察到犯罪组织使用可能由国家行为体构建的工具，对包括 iOS 在内的移动电话进行大规模利用。

尽管 Coruna 与其他美国政府关联的黑客工具有共同的根源，但它似乎已经泄漏，并被俄罗斯间谍和中国境内的网络犯罪分子用于攻击活动。

去年的报告显示，间谍软件的目标已超出记者和异见人士，波及科技和金融服务行业的高管、政治竞选团队以及其他拥有特权访问或影响力的人士。使用范围越广，泄漏的可能性就越大。

在观察到的攻击活动中，iVerify 和 Google 称该漏洞套件是通过对受损网站的“watering hole”攻击进行投放的，包括伪装的加密货币服务，以诱导受害者访问恶意页面。最终的载荷似乎具有金融动机，包含用于提取受感染设备上加密货币钱包数据和恢复短语的模块。

要阅读 iVerify 的完整报告，请点击此链接。