.webp)
6 Minutės
Apple skubiai išleido pataisą dėl vaizdų nulinio paspaudimo pažeidžiamumo, keliančio grėsmę kriptovaliutų piniginėms
Apple išleido skubų saugumo atnaujinimą, užtaisantį nulinio paspaudimo (zero-click) pažeidžiamumą, kuris galėtų leisti užpuolikams kompromituoti iPhone, iPad ir Mac — grėsmę, kurią saugumo ekspertai įspėja, gali sukelti tiesioginius, neatitaisomus nuostolius kriptovaliutų turėtojams. Registruotas kaip CVE-2025-43300, šis trūkumas rastas Apple Image I/O sistemoje, kuri tvarko vaizdų apdorojimą visuose Apple įrenginiuose.
Ką išnaudojimas daro ir kodėl kripto vartotojai turėtų dėl to susirūpinti
Pagal Apple pranešimą, specialiai paruoštas vaizdo failas gali sukelti atminties korupciją Image I/O komponente ir leisti nuotolinį kodo vykdymą be jokio vartotojo sąveikos. Tai reiškia, kad pakanka tik gauti vaizdą — per iMessage, Mail ar kitą programą — kad užpuolikai galėtų paleisti savavališką kodą pažeidžiamame įrenginyje.
Kiekvienam, kas laiko privačius raktus, piniginių prisijungimus ar biržos paskyrų duomenis telefone ar planšetėje, ši situacija yra ypač pavojinga. Skirtingai nuo tradicinių bankinių pavedimų, kriptovaliutų transakcijos yra negrįžtamos: jei užpuolikai ištuština piniginę arba įgyja prieigą prie biržos paskyros, lėšų atgauti dažnai neįmanoma. Kriptovaliutų saugumas tiesiogiai priklauso nuo įrenginio saugumo ir tinkamos privati raktų priežiūros.
Atnaujinimai ir paveikti įrenginiai
Apple nedelsdama išleido pataisas kaip iOS 18.6.2 ir iPadOS 18.6.2, taip pat atnaujinimus macOS Sequoia 15.6.1, Sonoma 14.7.8 ir Ventura 13.7.8. Įmonė nurodė, kad pataisa apima iPhone modelius nuo iPhone XS kartos iki iPhone 16 serijos, palaikomus iPad įrenginius, įskaitant iPad Pro, iPad Air (3 kartos ir vėlesnius), iPad (6 kartos ir vėlesnius) ir iPad mini (5 kartos ir vėlesnius), bei Mac kompiuterius, kuriuose veikia trys naujausios macOS versijos.
Apple ragino vartotojus įdiegti pataisą rankiniu būdu, o ne laukti automatinio atnaujinimo, kad būtų sumažinta galimybė būti išnaudotam.
Skubūs mitigacijos veiksmai kripto vartotojams
Saugumo specialistai rekomenduoja visiems, dalyvaujantiems kripto ekosistemoje, nedelsiant imtis šių atsargumo priemonių:
- Rankiniu būdu įdiekite Apple saugumo pataisas visuose valdomuose iPhone, iPad ir Mac įrenginiuose.
- Perkelkite privačius raktus ir seed frazes nuo įrenginių, kurie galėjo būti pažeisti. Apsvarstykite piniginių migraciją į aparatines pinigines (hardware wallet) arba šaltąjį saugojimą (cold storage), pvz., sertifikuotą Ledger ar kitą patikimą įrenginį.
- Atšaukite programų leidimus ir iš naujo autentifikuokite kritines paslaugas, tokias kaip el. paštas, debesų saugykla ir biržos paskyros. Atstatykite slaptažodžius ir naudokite stiprias, unikalias slaptažodžių frazes bei daugiafaktorinę autentifikaciją (MFA) kur įmanoma.
- Jei įtariate kompromitaciją, dokumentuokite neįprastą sistemos elgseną, bet žinokite, kad įrenginio žurnalai gali būti sudėtingi ne specialistams interpretuoti.
Šie žingsniai sumažina riziką, kad užpuolikai panaudos vieną pažeistą įrenginį, kad gautų prieigą prie piniginių programų, globojamų biržos paskyrų arba debesų sinchronizuojamų atsarginių kopijų, kurios gali atskleisti privačius raktus ir pakenkti jūsų kriptovaliutų saugumui.
.avif)
Kontekstas: atakų prieš kripto vartotojus sudėtingumo didėjimas
Apple pažymėjo, kad gavo pranešimų, jog šis pažeidžiamumas galėjo būti naudojamas tikslinei, itin sudėtingai atakai. Nors įmonė neatskleidė, kiek žmonių galėjo būti taikinių, saugumo analitikai perspėja, kad kai pažeidžiamumas tampa viešu, dažnai seka platesnis išnaudojimas.
Tokio pobūdžio skubi pataisa atspindi neseniai vykusias tikslingas kampanijas prieš kripto turėtojus. 2024 m. Kaspersky išsamiai aprašė, kaip Šiaurės Korėjos Lazarus grupė naudojo Google Chrome zero-day, slepiamą suklastotame blockchain žaidime, kad įdiegtų šnipinėjimo programinę įrangą ir rinktų piniginių prisijungimus, kartais pasitelkdama generatyvią DI aukų viliojimui. To paties metų pradžioje Trust Wallet įspėjo apie iMessage zero-day išnaudojimą, kuris, kaip pranešama, buvo siūlomas dark web už 2 mln. USD — tai parodo, kokia didelė vertė nulinio paspaudimo ir iMessage spragoms grėsmės aktoriams, siekiantiems skaitmeninio turto.
Platesnė kripto saugumo aplinka 2025 m.
Nulinio paspaudimo pataisa pasirodo tuo metu, kai 2025 m. kripto sektoriuje padidėjo nuostoliai. CertiK pranešė apie daugiau nei 2,2 mlrd. USD prarastų dėl įsilaužimų ir sukčiavimų metų pirmoje pusėje. Dideli incidentai iškreipė bendrus skaičius — pavyzdžiui, Bybit patyrė 1,5 mlrd. USD pažeidimą, o Cetus Protocol prarado 225 mln. USD — tačiau net ir juos neįtraukus, nuostoliai siekė apie 690 mln. USD. Tik liepą 17 didelių pažeidimų lėmė maždaug 142 mln. USD nuostolių, arba 27,2% daugiau nei birželį.
Rugpjūčio aukšto profilio incidentai ėmė apimti kaltinimus dėl 48 mln. USD išnaudojimo Turkijos biržoje BtcTurk, kuri laikinai sustabdė „karštųjų“ piniginių įnešimus ir išėmimus, bet tęsė fiat operacijas. DeFi ir išmaniųjų sutarčių projektai taip pat išlieka taikiniais: rugpjūčio 8 d. pranešta, kad CrediX Finance dingo po 4,5 mln. USD išnaudojimo, kurios metu buvo piktnaudžiaujama projekto multisig piniginės kontrole ir išleidžiami neremti žetonai.
Ransomware grupės dar labiau padidina grėsmių lauką. Nauja grupė, vadinama Embargo, nuo 2024 m. balandžio, kaip teigiama, peržengė 34 mln. USD išplovusi kriptovaliutų, tariamai persivadindama iš suirusios BlackCat operacijos ir taikydamasi į JAV sveikatos priežiūros organizacijas su išpirkos reikalavimais, dažnai viršijančiais 1 mln. USD.
Pagrindiniai pastebėjimai asmenims ir institucijoms
- Vertinkite įrenginio saugumą kaip pirmąją liniją piniginės apsaugai. Net pažangios on-chain apsaugos gali būti apeitos, jei privačių raktų ar atkūrimo frazių saugumas yra pažeidžiamas pažeistame įrenginyje.
- Visada operatyviai diegkite saugumo pataisas. Nulinio paspaudimo pažeidžiamumai, kaip CVE-2025-43300, yra ypač vertingi užpuolikams, nes jie pašalina socialinės inžinerijos poreikį.
- Rinkitės aparatines pinigines ir offline rakto saugyklą svarbiems turtams. Jei naudojate globojamas paslaugas, taikykite griežtą operacinę saugą — dedikuotus įrenginius, MFA ir dažną prisijungimo duomenų keitimą.
- Sekite oficialius platformų (Apple, Google) patarimus ir laikykitės geriausios praktikos iš patikimų saugumo įmonių ir audito paslaugų.
Įdiegę Apple atnaujinimus nedelsiant ir peržiūrėję piniginių saugojimo praktiką, kripto vartotojai ir organizacijos gali sumažinti savo ekspoziciją įrenginiuose veikiančiai šnipinėjimo programinei įrangai bei kitoms pažangioms grėsmėms, siekiančioms neatitaisomų turto vagysčių. Kriptovaliutų saugumas prasideda nuo įrenginio saugumo ir tinkamos privati raktų priežiūros.
Šaltinis: cryptonews
Palikite komentarą