谷歌最近给咱们提了个醒,说有种专门搞iOS系统漏洞的工具包正在搞事情。这东西被开发者命名为Coruna,它的威力可不小,谷歌把它归为"新型且强大"的类型。根据奔跑财经3月6日的消息,谷歌威胁分析组发现了这种工具包的身影。它们藏在一些假冒的金融和加密货币网站里,就是想骗iPhone用户点进去。 这个工具包特别阴险,它会偷偷地把恶意代码注入到用户访问的网页里。要是用户信了这些假网站的话,点开链接就中招了。对于那些手里有加密货币的人来说,风险是实实在在的。GTIG的分析显示,这群人的最终目标就是搞走你手机里常用钱包的助记词和关键数据。 Coruna瞄准的对象很明确,就是那些还在跑iOS 13.0到iOS 17.2.1版本的iPhone。这套工具包里打包了五个完整的漏洞利用链条和23个漏洞,数量挺多的。在这段时间里,GTIG观察到Coruna背后的JavaScript框架被用在很多简体中文的假网站上。他们举了个例子:有个假冒WEEX品牌的加密交易所页面,会专门引导用户用iOS设备去访问。一旦点进去,就会有一个隐藏的iFrame把漏洞利用工具包投递给用户,而且不管你人在国内还是国外都能中招。 这种投递方式很有讲究,它把传统的钓鱼攻击和直接入侵设备的界限给模糊了。按照GTIG的说法,只要用了存在漏洞的iPhone去访问那个设伏的页面,攻击链就会立马启动。这套框架会先给手机做个指纹识别,看看型号和iOS版本是什么情况。然后它就会加载WebKit的远程代码执行漏洞还有指针认证绕过的代码。 等到攻击链的最后阶段,GTIG说Coruna会给设备投放一个叫PlasmaLoader的加载器。这个加载器主要不是盯着监控用户隐私什么的,而是专门用来窃取财务信息的。 现在咱们能做什么呢?谷歌表示这个Coruna对最新版本的iOS没用了,大家赶紧去把系统更新了。要是实在不能更新怎么办?GTIG建议启用苹果的锁定模式。他们还把发现的那些可疑网站和域名都加到了谷歌安全浏览里面去了。 对那些做加密货币的朋友来说,现在最直接的启示就是要注意风险。咱们手机里的钱包既是高价值资产又是高频网络流量的入口点,"访问即入侵"这类攻击对咱们来说特别危险。GTIG的报告显示这个诈骗漏斗不光是为了让你连钱包的网,更是为了让你用特定的设备和系统版本好让漏洞利用能顺利进行下去。 声明:文章取材网络,大家看的时候一定要谨慎辨别真假。