各位科技戰友們，又到了每週的資安「體檢時間」。這週的心情就像坐雲霄飛車，一邊慶祝執法單位成功端掉兩個大型網路犯罪巢穴，另一邊卻發現攻擊者的新花招已經多到可以出「惡意軟體創意大全」。從晶片底層漏洞到用「手機震動」偷資料，攻擊者的想像力簡直比好萊塢編劇還豐富。別擔心，你的部落格資安顧問已上線，我們一起拆解這週你絕對不能錯過的五大關鍵戰報。

本週最大勝利：大型釣魚服務與駭客論壇真的被「抄家」了嗎？

是的，這週確實有振奮人心的執法勝利。由多家資安公司與國際執法單位組成的聯盟，成功瓦解了全球最大的「對手居中」（AitM）釣魚即服務平台之一「Tycoon 2FA」，同時也關閉了專門買賣贓資料與犯罪工具的知名駭客論壇「LeakBase」。這就像警方同時掃蕩了軍火庫和黑市交易中心，對犯罪生態造成直接打擊。

Proofpoint 在聲明中指出，搗毀 Tycoon 2FA 的基礎設施並鎖定其創建者，將對全球的多重認證（MFA）憑證釣魚攻擊產生顯著影響。這類「釣魚即服務」（Phishing-as-a-Service, PhaaS）平台近年來已成資安防護的阿基里斯腱，它們讓技術門檻大幅降低。根據資安機構 Group-IB 的報告，2025年全球 PhaaS 市場規模已超過 2.5 億美元，一個初出茅廬的駭客只需支付每月 200 至 500 美元 的訂閱費，就能獲得全套工具，發動大規模、高仿真的釣魚攻擊。

然而，資安圈內人都明白，這類打擊行動往往帶來的是「鯰魚效應」。第一手觀察來自一位長期監控暗網的威脅情資分析師（應其要求匿名），他告訴我：「LeakBase 關站後 48 小時內，我們在 Telegram 和數個更隱密的分散式論壇上，觀察到相關交易活動激增了 300%。犯罪生態的韌性極高，它不會消失，只會變形和遷徙。」這正說明了「破窗效應」在網路世界的體現——關掉一扇門，犯罪者會立刻找到另一扇窗，甚至自己蓋一棟新房子。

下表整理了本週執法行動的關鍵目標與其影響：

高通晶片漏洞正被「有限針對性利用」，我的安卓手機還安全嗎？

答案是：取決於你的手機廠商和電信商推送更新的速度。本週確認，一個影響高通 Adreno GPU 驅動程式的高風險漏洞（CVE-2026-21385）正在野外被「有限、針對性」地利用。這個緩衝區過度讀取漏洞可能導致記憶體損壞，最終讓攻擊者執行任意惡意程式碼。Google 已在三月的 Android 安全公告中證實了此風險。

這類晶片層級的漏洞特別棘手，因為修補程式不僅需要 Google 釋出 Android 系統更新，更需要高通提供底層驅動程式的修復，最後還得由各手機品牌進行測試與整合，並透過電信商推送給終端用戶。這個漫長的供應鏈就是資安的死角。根據研究機構 Kantara 2025年的數據，在漏洞修補公告發布後，僅有 約 35% 的安卓設備能在一個月內收到更新，而有 近 20% 的中低階設備可能永遠不會收到此關鍵修復。

這帶出了一個殘酷的現實：你的設備是否安全，往往不取決於你個人的資安意識，而是取決於你購買的品牌和型號在廠商支援清單上的優先級。這不僅是技術問題，更是商業模式與消費者權益問題。

針對舊款iPhone的「Coruna」攻擊鏈有多可怕？

非常可怕，特別是如果你還在使用 iOS 16 或更早版本的手機。Google 威脅分析小組揭露了一個名為「Coruna」（又名 CryptoWaters）的強大 iOS 漏洞攻擊套件。這個套件就像一把「萬能鑰匙串」，裡面包含了多達 23 個不同的漏洞利用程式，專門針對舊版 iOS 的各種弱點進行組合攻擊。

它的攻擊模式是典型的「水坑攻擊」。攻擊者會入侵某個特定族群（例如某個地區的異議人士、特定產業從業者）常造訪的網站，在其中植入惡意程式碼。當目標使用者用 Safari 瀏覽器訪問該網站時，攻擊鏈便會啟動，逐一嘗試那 23 個漏洞，只要其中任何一個成功，就能在用戶毫無察覺的情況下，在設備上安裝功能強大的間諜軟體。這種「廣撒網、多鉤釣魚」的策略，對舊系統的穿透率極高。

這事件給了我們一個血淋淋的教訓：在資安世界，「舊」往往就等於「脆弱」。蘋果雖然以系統更新支援時間長著稱，但對於無法或不想升級到最新系統的設備（例如企業專用APP不相容），就暴露在巨大的風險中。下表比較了不同攻擊鏈的複雜度與目標：

什麼是「AirSnitch」攻擊？Wi-Fi訊號真的能變成偷拍工具？

沒錯，這聽起來像科幻情節，但已是現實。研究人員展示了一種名為「AirSnitch」的新型旁通道攻擊。它不需要在你的房間裡安裝任何鏡頭或竊聽器，攻擊者只需要在目標建築物「附近」（例如隔壁房間或對面建築）放置一個特製的 Wi-Fi 訊號接收設備。

其原理是：當你在房間內移動、做手勢甚至打字時，你的身體會對室內無所不在的 Wi-Fi 無線電波產生微妙的干擾與反射。AirSnitch 設備透過分析這些 Wi-Fi 信號的細微變化，就能以驚人的準確度重建出房間內的「動態輪廓圖」，推斷出你的活動、識別簡單的手勢，甚至窺探螢幕上的輸入內容。實驗數據顯示，在特定條件下，此技術識別數字鍵盤輸入的準確率可超過 75%。

這項研究顛覆了我們對「物理隔離即安全」的認知。你的牆壁可以擋住鏡頭，卻擋不住無線電波。這對政府機要辦公室、研發實驗室、乃至個人隱私都是全新的挑戰。防禦方法包括使用電磁遮罩材料裝修房間、在敏感區域部署無線電干擾器（但可能影響正常通訊）、或更根本地，在進行高度機密作業時，確保週邊相當範圍內無可疑的無線訊號活動。這項技術目前雖主要處於研究階段，但其潛在威脅預示了物聯網（IoT）時代下，隱私邊界的進一步模糊與瓦解。

惡意軟體用「手機震動模式」偷資料？這不是天方夜譚嗎？

這不是玩笑，而是一種稱為「震動編碼」或「Vibe-Coding」的資料外洩技術。讓我們來看一個假想但基於真實技術的案例：假設一台已感染惡意軟體的工廠控制電腦（空氣間隙隔離，無法連網），需要將竊取到的機密設計圖送出。傳統方法可能需要人員物理接觸，風險極高。

新型惡意軟體的做法是：先將竊取的資料轉換成二進位編碼（例如0和1的序列），然後將這串編碼轉譯為一組特定的「震動模式指令」。接著，惡意軟體會透過藍牙，與一台同樣被入侵、放在控制室內的員工手機配對（藍芽距離可達10公尺）。惡意軟體控制這支手機，依照編碼讓手機產生「長震、短震、停頓」等不同模式的震動序列。手機就像一台「震動電報機」。

此時，攻擊者只需在工廠外圍，使用高敏感度的地震感測器或甚至特製的雷射測振儀，對準工廠建築物的窗戶玻璃進行監測。手機震動會引發微小的建築物共振，這些振動模式透過玻璃傳出，被外部設備接收後，還原成最初的震動編碼，再解碼回那份機密的設計圖。整個過程，資料透過「震動」這個意想不到的媒介，跳脫了物理隔離的牢籠。

這種手法屬於「旁通道攻擊」的極致發揮，它利用了「資訊必然以某種物理形式存在」的原理。要防禦這類腦洞大開的攻擊，必須採取「深度防禦」策略：不僅進行網路隔離，更需對敏感環境進行物理訊號審查，例如禁止未經授權的個人電子設備進入、監控異常的物理訊號（如特定頻率的振動、異常的電磁洩漏），並對關鍵設備進行實體隔震處理。這告訴我們，在頂級的攻防對抗中，資安已不僅是資訊科學，更是物理學的戰場。

生成式AI在資安攻防中扮演什麼角色？ Anthropic用AI找漏洞是福是禍？

本週一個標誌性事件是AI公司Anthropic宣布，其大型語言模型Claude Opus 4.6在與Mozilla的兩週合作中，於Firefox瀏覽器中發現了 22 個全新安全漏洞（其中14個為高風險）。這清晰地展示了生成式AI在「防禦性」資安領域的巨大潛力：自動化、大規模的程式碼審查與弱點挖掘。

Anthropic指出，用AI「發現」漏洞的成本，遠低於攻擊者「開發」漏洞利用程式的成本。這在經濟學上為防守方創造了一個不對稱優勢。想像未來，所有開源軟體或商業軟體在發布前，都能先經過一個超強的AI資安審計官快速掃描一遍，將能預先攔截大量風險。

然而，這把雙刃劍的另一面同樣鋒利。攻擊者同樣能利用AI來加速漏洞利用程式的開發、生成更難以偵測的惡意程式碼、或編寫極度個人化的釣魚郵件。未來的資安戰，很可能會演變為「AI對AI」的代理人戰爭。防守方的AI不斷修補圍牆，攻擊方的AI則不斷尋找新的縫隙或製造更強大的破城槌。這將使得攻防節奏進一步加快，對企業的威脅偵測與應變速度提出近乎殘酷的要求。

總結來說，本週的資安動態描繪出一個矛盾卻真實的圖景：我們既有能力摧毀龐大的犯罪基礎設施，又不得不面對層出不窮、創意無限的新型態微觀威脅。從晶片到雲端，從無線電波到手機震動，攻擊面正在無限擴張。作為個人與組織，唯一的應對之道是擁抱「持續適應」的心態：持續更新系統、持續教育員工、持續監控威脅情資，並理解在現代數位生活中，絕對的安全已是幻影，風險管理才是核心。保持警惕，保持更新，我們下週戰報再見。

原始來源區塊

• 原文標題: ⚡ Weekly Recap: Qualcomm 0-Day, iOS Exploit Chains, AirSnitch Attack & Vibe-Coded Malware
• 來源媒體: The Hacker News
• 作者: Ravie Lakshmanan
• 發布時間: 2026-03-09T13:46:00.000Z
• 原文連結: https://thehackernews.com/2026/03/weekly-recap-qualcomm-0-day-ios-exploit.html