Compania a confirmat luni că dispozitivele sale sunt afectate de o defecțiune care permite execuția de cod malițios la distanță prin JavaScript bazat pe web. Această vulnerabilitate deschide un vector de atac care ar putea duce la furtul de date legate de crypto de la utilizatori neatenți.
Conform ultimei divulgări de securitate a Apple, utilizatorii trebuie să-și actualizeze software-ul JavaScriptCore și WebKit la cele mai recente versiuni pentru a remedia problema. Descoperită de cercetătorii de la Google Threat Analysis Group, vulnerabilitatea permite „procesarea conținutului web creat în mod malițios”, rezultând în „atacuri de tip cross-site scripting.” Alarmant, Apple a recunoscut de asemenea că problema „ar fi putut fi exploatată activ pe sistemele Mac bazate pe Intel.”
Apple a emis o divulgare similară de securitate pentru utilizatorii de iPhone și iPad, afirmând că defecțiunea JavaScriptCore permite „procesarea conținutului web creat în mod malițios, ceea ce poate duce la execuția de cod arbitrar.” Cu alte cuvinte, hackerii ar putea prelua controlul asupra iPhone-urilor sau iPad-urilor utilizatorilor dacă aceștia vizitează site-uri malițioase. Apple a asigurat utilizatorii că actualizările ar trebui să rezolve problema.
Jeremiah O’Connor, CTO și co-fondator al firmei de securitate cibernetică crypto Trugard, a avertizat că „atacatorii ar putea obține acces la date sensibile precum chei private sau parole stocate în browsere,” ce ar putea duce la furtul activelor crypto dacă dispozitivele utilizatorilor rămân neactualizate.
La începutul lunii martie, au apărut rapoarte conform cărora cercetătorii în securitate au găsit vulnerabilități în cipurile din generația anterioară a Apple (seria M1, M2 și M3). Aceste defecțiuni ar putea permite hackerilor să extragă chei criptografice.
Vulnerabilitatea exploatează o tehnică numită „prefetching,” o caracteristică a cipurilor din seria M a Apple, concepută pentru a accelera interacțiunile cu dispozitivele companiei. Prefetching poate stoca date sensibile în cache-ul procesorului, permițând atacatorilor să recupereze aceste informații pentru a reconstrui chei criptografice care ar trebui să rămână inaccesibile.
Din păcate, conform Ars Technica, aceasta reprezintă o problemă semnificativă pentru utilizatorii Apple, deoarece vulnerabilitățile la nivel de cip nu pot fi remediate prin actualizări software.