Firma Apple potwierdziła, że jej urządzenia są podatne na exploit umożliwiający zdalne wykonanie złośliwego kodu za pośrednictwem internetowego kodu JavaScript, tworząc wektor ataku, który może spowodować utratę kryptowaluty przez ofiary.
Błąd ten, wykryty przez badaczy z zespołu Google ds. analizy zagrożeń, umożliwia przetwarzanie „złośliwie spreparowanej treści internetowej”, co może prowadzić do „ataków typu cross-site scripting”.
Apple przyznało również, że „wie o raporcie mówiącym, że problem ten może być aktywnie wykorzystywany w systemach Mac z procesorami Intel”.
Zgodnie z niedawnym ujawnieniem firmy Apple dotyczącym bezpieczeństwa użytkownicy muszą korzystać z najnowszych wersji oprogramowania JavaScriptCore i WebKit, aby załatać lukę.
Ponadto Apple twierdzi, że luka w JavaScriptCore może pozwolić na „złośliwe przetwarzanie spreparowanych treści internetowych prowadzące do wykonania dowolnego kodu”. Innymi słowy, hakerzy mogą przejąć kontrolę nad iPhonem lub iPadem użytkownika, jeśli odwiedzi on złośliwą witrynę internetową.
CZ Binance wydało ostrzeżenie
Były dyrektor generalny Binance, Changpeng Zhao (CZ), szybko podzielił się informacją o tej luce w X, wzywając użytkowników Apple do aktualizacji swoich urządzeń do najnowszej wersji w celu naprawienia błędu.
Podatne na ataki są także chipy M1, M2 i M3 firmy Apple
W marcu badacze bezpieczeństwa odkryli lukę w zabezpieczeniach chipów Apple poprzedniej generacji – serii M1, M2 i M3 – która może umożliwić hakerom kradzież kluczy kryptograficznych.
Exploit ten wykorzystuje „wstępne ładowanie” – proces stosowany przez własne chipy Apple z serii M w celu przyspieszenia interakcji z urządzeniami firmy. Pobieranie wstępne można wykorzystać do przechowywania danych logicznych w pamięci podręcznej procesora, a następnie uzyskiwania do nich dostępu w celu ponownego wygenerowania rzekomo niedostępnego klucza kryptograficznego.
Niestety, ArsTechnica zgłasza, że jest to poważny problem dla użytkowników Apple, ponieważ luki na poziomie chipa nie można usunąć za pomocą aktualizacji oprogramowania. Jedno potencjalne obejście mogłoby złagodzić problem, ale należy wymienić wydajność na rzecz bezpieczeństwa.
Rady dla użytkowników Apple
Aby chronić swoje zasoby kryptograficzne, użytkownicy Apple powinni:
Natychmiast zaktualizuj wszystkie swoje urządzenia do najnowszej wersji oprogramowania.
Zachowaj ostrożność podczas odwiedzania witryn internetowych i nie klikaj podejrzanych linków.
Stosuj dodatkowe środki bezpieczeństwa, takie jak uwierzytelnianie dwuskładnikowe (2FA) i portfele sprzętowe.
Monitoruj alerty i powiadomienia dotyczące bezpieczeństwa od Apple i renomowanych ekspertów.
