最近安全圈出现了一条非常值得关注的消息。
Google 与 Mandiant 研究人员披露了一个名为 Coruna 的 iPhone 攻击工具包。
这个工具包包含 23 个 iOS 漏洞,能够在用户访问网页时直接入侵设备。
简单来说:
只要访问一个网页,就可能被利用。
更重要的是,这个漏洞链已经被用于:
- 间谍活动
- 加密货币窃取
- 大规模 iPhone 攻击
安全公司 iVerify 估计,仅其中一次攻击活动就可能感染了 4 万多台设备。
对于普通用户来说,这是安全问题。
但对于越狱社区来说,这件事意味着另一件更重要的事情:
iOS 17 的漏洞链开始浮出水面。
Coruna:一个完整的 iOS exploit kit
Coruna 并不是单个漏洞,而是一整套攻击工具。
这种工具在安全领域叫 Exploit Kit。
它通常包含:
- 漏洞检测
- 漏洞利用
- payload 下载
- 远程控制
攻击流程一般是:
访问网页 → 检测系统 → 触发漏洞 → 安装恶意代码。
整个过程完全自动化。
Coruna 的特殊之处在于:
- 包含 23 个 iOS 漏洞
- 能组合成 完整攻击链
- 可绕过 iPhone 的多层防护
研究人员甚至认为,这套工具的开发成本可能高达 数百万美元级别。
影响范围:iOS 13 - iOS 17.2.1
目前公开信息显示:
Coruna 的漏洞影响范围包括:
- iOS 13
- iOS 14
- iOS 15
- iOS 16
- iOS 17.2.1 之前版本
也就是说,大量旧设备都可能受到影响。
包括:
- iPhone XR
- iPhone 11
- iPhone 12
- iPhone 13
- iPhone 14
关键点:PPL Bypass 已确认
更关键的一条信息来自安全研究人员整理的漏洞列表。
Google 已确认以下漏洞属于 PPL Bypass:
CVE-2024-23225
影响版本:iOS 17.0 – 17.3
CVE-2024-23296
影响版本:iOS 17.1 – 17.4
同时研究者还指出:
iOS 16.5.1 – 16.7.8
同样存在多个 PPL bypass
什么是 PPL
PPL(Page Protection Layer)
是 Apple 在 iOS 15 之后加强的一层内核保护。
简单理解:
想要越狱,一般需要突破三层:
- Sandbox
- Kernel exploit
- PPL bypass
而 PPL bypass 一直是 iOS 16 / 17 越狱最难的一环。
如果这一层被绕过:
就意味着可以修改内核。
为什么越狱社区开始关注
一次完整的 iOS 越狱通常需要:
- WebKit exploit
- Kernel exploit
- PPL bypass
而从目前公开的信息来看:
Coruna 中已经包含:
- WebKit 利用链
- Kernel 利用
- PPL bypass
从技术角度来说:
这已经接近一条完整越狱链。
当然,这些 exploit 目前仍然掌握在安全研究机构手里。
A12 - A14 设备最可能受影响
目前研究人员还提到一个重要条件:
部分漏洞 只适用于 A12 - A14 设备。
这意味着如果未来漏洞公开:
最可能支持的设备是:
- iPhone XR / XS
- iPhone 11
- iPhone 12
这些设备也是历史上越狱最活跃的平台。
为什么有人在疯狂存档漏洞页面
安全研究人员最近还提醒:
一些漏洞页面还没有被删除,建议尽快 archive。
原因很简单:
很多漏洞信息会被厂商或研究人员删除。
但里面往往包含:
- crash 信息
- PoC
- exploit 思路
- WebKit bug
这些信息经常会成为:
未来越狱工具的重要线索。
现实一点:短期不会立刻出现越狱
即使漏洞已经存在,也不代表越狱马上出现。
完整越狱工具通常需要:
- 漏洞整理
- exploit 稳定化
- AMFI bypass
- PPL patch
整个过程可能需要:
几个月到几年时间。
最后
这次 Coruna 事件释放了几个非常重要的信号:
- iOS 17 的漏洞链已经被发现
- PPL bypass 开始出现
- exploit kit 已经在真实攻击中使用
换句话说:
iOS 17+ 的越狱可能性,正在慢慢变大。
至于什么时候会真正出现越狱工具。
现在谁也说不好。
但可以确定的是:
拼图已经开始出现了。