Apple a confirmat luni că dispozitivele sale au rămas vulnerabile la un exploit care a permis execuția de cod malițios de la distanță prin JavaScript bazat pe web, deschizând un vector de atac care ar putea expune victimele nevinovate din criptomonede.


Conform unei recente divulgări de securitate de la Apple, utilizatorii trebuie să folosească cele mai recente versiuni ale software-ului său JavaScriptCore și WebKit pentru a remedia vulnerabilitatea.


Buga, descoperită de cercetătorii din grupul de analiză a amenințărilor de la Google, permite „procesarea conținutului web creat în mod malițios,” ceea ce ar putea duce la un „atac prin scripting între site-uri.”


Mai alarmant, Apple a recunoscut, de asemenea, că „este conștientă de un raport conform căruia această problemă ar fi putut fi exploatată activ pe sistemele Mac bazate pe Intel.”


Apple a emis, de asemenea, o divulgare de securitate similară pentru utilizatorii de iPhone și iPad. Aici, se spune că vulnerabilitatea JavaScriptCore a permis „procesarea conținutului web creat în mod malițios, ceea ce poate duce la execuția de cod arbitrar.”


Cu alte cuvinte, Apple a devenit conștientă de o flaw de securitate care ar putea permite hackerilor să preia controlul asupra iPhone-ului sau iPad-ului unui utilizator dacă aceștia vizitează un site web dăunător. O actualizare ar trebui să rezolve problema, a spus Apple.


Jeremiah O’Connor, CTO și co-fondator al firmei de securitate cibernetică în criptografie Trugard, a declarat pentru Decrypt că „atacatorii ar putea accesa date sensibile precum cheile private sau parolele” stocate în browserul lor, permițând furtul de criptomonede dacă dispozitivul utilizatorului a rămas neactualizat.


Revelațiile despre vulnerabilitate în comunitatea crypto au început să circule pe rețelele sociale miercuri, cu fostul CEO al Binance, Changpeng Zhao, care a tras semnalul de alarmă într-un tweet, sfătuind utilizatorii de Macbook-uri cu procesoare Intel să se actualizeze cât mai curând posibil.



Dezvoltarea urmează rapoartelor din martie conform cărora cercetătorii în securitate au descoperit o vulnerabilitate în cipurile din generația anterioară a Apple—seria M1, M2 și M3 care ar putea permite hackerilor să fure chei criptografice.


Exploitul, care nu este nou, folosește „prefetching,” un proces utilizat de cipurile din seria M a Apple pentru a accelera interacțiunile cu dispozitivele companiei. Prefetching-ul poate fi exploatat pentru a stoca date sensibile în cache-ul procesorului și apoi accesat pentru a reconstrui o cheie criptografică care ar trebui să fie inaccesibilă.


Din păcate, ArsTechnica raportează că aceasta este o problemă semnificativă pentru utilizatorii Apple, deoarece o vulnerabilitate la nivel de cip nu poate fi rezolvată printr-o actualizare software.


O soluție potențială poate atenua problema, dar aceștia sacrifică performanța pentru securitate.


Editat de Stacy Elliott și Sebastian Sinclair