A empresa confirmou na segunda-feira que seus dispositivos são afetados por uma falha que permite a execução remota de código malicioso através do JavaScript baseado na web. Essa vulnerabilidade abre um vetor de ataque que pode levar ao roubo de dados relacionados a criptomoedas de usuários desavisados.
De acordo com a mais recente divulgação de segurança da Apple, os usuários devem atualizar seu JavaScriptCore e software WebKit para as versões mais recentes para corrigir o problema. Descoberta por pesquisadores do Grupo de Análise de Ameaças do Google, a vulnerabilidade permite "processar conteúdo web maliciosamente elaborado", resultando em "ataques de script entre sites". Alarmantemente, a Apple também admitiu que o problema "pode ter sido explorado ativamente em sistemas Mac baseados em Intel."
A Apple emitiu uma divulgação de segurança semelhante para usuários de iPhone e iPad, afirmando que a falha do JavaScriptCore permite o "processamento de conteúdo web maliciosamente elaborado, o que pode levar à execução de código arbitrário." Em outras palavras, hackers poderiam potencialmente assumir o controle dos iPhones ou iPads dos usuários se eles visitarem sites maliciosos. A Apple garantiu aos usuários que as atualizações devem resolver o problema.
Jeremiah O’Connor, CTO e cofundador da empresa de cibersegurança em criptomoeda Trugard, alertou que "os atacantes poderiam ter acesso a dados sensíveis, como chaves privadas ou senhas armazenadas em navegadores", potencialmente roubando ativos em criptomoedas se os dispositivos dos usuários permanecerem sem correção.
No início de março, surgiram relatos de que pesquisadores de segurança haviam encontrado vulnerabilidades nos chips de geração anterior da Apple (séries M1, M2 e M3). Essas falhas poderiam permitir que hackers extraíssem chaves criptográficas.
A vulnerabilidade explora uma técnica chamada "prefetching", um recurso nos chips da série M da Apple projetado para acelerar as interações com os dispositivos da empresa. O prefetching pode armazenar dados sensíveis no cache do processador, permitindo que os atacantes recuperem essas informações para reconstruir chaves criptográficas que deveriam permanecer inacessíveis.
Infelizmente, de acordo com a Ars Technica, isso apresenta um problema significativo para os usuários da Apple, uma vez que vulnerabilidades em nível de chip não podem ser corrigidas por meio de atualizações de software.