Apple v pondělí potvrdil, že jeho zařízení byla vystavena zranitelnosti, která umožnila vzdálené provádění škodlivého kódu prostřednictvím webového JavaScriptu, což otevřelo útočný vektor, který by mohl část neinformovaných obětí odpojit od jejich kryptoměn.
Podle nedávného bezpečnostního oznámení Apple musí uživatelé používat nejnovější verze jeho softwaru JavaScriptCore a WebKit k opravě zranitelnosti.
Chyba, kterou objevili výzkumníci ve skupině pro analýzu hrozeb Google, umožňuje „zpracování škodlivě vytvořeného webového obsahu“, což by mohlo vést k „útoku typu cross-site scripting.“
Více znepokojivě, Apple také přiznal, že „si je vědom zprávy, že tento problém mohl být aktivně zneužíván na systémech Mac založených na Intelu.“
Apple také vydal podobné bezpečnostní oznámení pro uživatele iPhonů a iPadů. Zde se uvádí, že zranitelnost JavaScriptCore umožnila „zpracování škodlivě vytvořeného webového obsahu, což může vést k provádění libovolného kódu.“
Jinými slovy, Apple si uvědomil bezpečnostní chybu, která by mohla umožnit hackerům převzít kontrolu nad iPhonem nebo iPadem uživatele, pokud navštíví nebezpečnou webovou stránku. Aktualizace by měla problém vyřešit, uvedl Apple.
Jeremiah O’Connor, CTO a spoluzakladatel firmy Trugard zaměřené na kybernetickou bezpečnost kryptoměn, řekl Decrypt, že „útočníci by mohli získat citlivá data, jako jsou soukromé klíče nebo hesla“ uložená v jejich prohlížeči, což by umožnilo krádež kryptoměn, pokud by zařízení uživatele zůstalo neopravena.
Zprávy o zranitelnosti v kryptokomunitě začaly kolovat na sociálních médiích ve středu, přičemž bývalý generální ředitel Binance Changpeng Zhao varoval v tweetu, že uživatelé Macbooků s procesory Intel by se měli co nejdříve aktualizovat.
Vývoj následuje po březnových zprávách, že bezpečnostní výzkumníci objevili zranitelnost v předchozí generaci čipů Apple – jejich sériích M1, M2 a M3, které by mohly umožnit hackerům ukrást kryptografické klíče.
Zneužití, které není nové, využívá „přednačítání“, procesu, který používají vlastní čipy Apple série M k urychlení interakcí s zařízeními společnosti. Přednačítání může být zneužito k uložení citlivých dat do vyrovnávací paměti procesoru a následnému přístupu k nim za účelem rekonstrukce kryptografického klíče, který by měl být nedostupný.
Bohužel, ArsTechnica uvádí, že to je pro uživatele Apple významný problém, protože zranitelnost na úrovni čipu nemůže být vyřešena prostřednictvím softwarové aktualizace.
Potenciální obcházení může zmírnit problém, ale ti, kdo to udělají, obchodují výkon za bezpečnost.
Upraveno Stacy Elliott a Sebastian Sinclair