據多所大學的研究人員稱,蘋果的MacBook和iPad可能存在一個嚴重的漏洞,可能會暴露設備上的加密貨幣金鑰和密碼。該漏洞存在於蘋果M系列晶片中,駭客可以透過惡意軟體攻擊來竊取加密貨幣金鑰,包括加密貨幣資產錢包的安全金鑰。雖然風險可能較低,但用戶若持有大量加密貨幣資產,需重視。無法透過補丁修復,需要移除數位貨幣包並遷移到其他設備上。一般使用者受影響可能性較低,攻擊需要時間和條件,但仍需注意安全預防措施。 Ledger和Trezor等公司的硬體錢包可能不受影響。
蘋果的Macbook和iPad上可能有一個嚴重的漏洞,會暴露某些裝置上的加密貨幣金鑰和密碼。
據多所大學的研究人員稱,蘋果M系列晶片中存在一個漏洞,可能被駭客透過惡意軟體攻擊來竊取加密貨幣金鑰,包括加密貨幣資產錢包的安全金鑰。
雖然這個漏洞在現實中的風險性可能很低,但如果用戶在M系列晶片的Macbook上持有大量加密貨幣資產,就不得不重視這種情況。
以下是報告揭露的一些關鍵資訊。
研究人員上週宣布,他們在Mac 和iPad 使用的蘋果M 系列晶片中發現了一個關鍵漏洞,攻擊者有可能利用該漏洞獲取加密貨幣安全金鑰和程式碼。
這個問題可以歸結為一種叫做「預取」的技術,蘋果公司自己的M系列晶片可以利用這種技術加速與使用者設備的互動。
透過「預取」技術,設備可以監控使用者最常見的活動,並將資料保存在使用者的裝置上,從而加快互動速度。但這種技術現在顯然可以被利用了。
研究人員表示,他們能夠創建一個應用程序,成功「誘騙」處理器將一些預取的資料放入快取中,然後該應用程式就可以存取這些資料並用於重建加密貨幣金鑰。這是一個潛在的大問題。
如果用戶的Mac或iPad配備了Apple M系列處理器(包括M1、M2或M3),那麼裝置就可能遭受該漏洞的影響。
M1處理器於2020年底在MacBook Air、MacBook Pro和Mac Mini上推出,最終落後於Mac桌上型電腦甚至iPad平板電腦。
M2處理器和目前的M3處理器在電腦和平板電腦中也容易受到影響,M2晶片甚至用於Apple Vision Pro耳機。
但根據Ars Technica的報告,在M3晶片中,受漏洞影響的資料記憶體預取器增加了一個“特殊位元”,開發人員可以呼叫該“特殊位元”來取消資料保存功能,儘管會導致效能下跌一定程度的影響。
如果配備用戶的是英特爾處理器的舊款Mac,那麼就不會受到影響。在蘋果開發自己的晶片之前,多年來一直使用英特爾處理器。
同樣,如果用戶的iPad(新舊)使用蘋果公司的A系列晶片(iPhone也採用該晶片),那麼似乎也不存在風險。只有M1、M2和M3晶片借鏡設計方式而無論存在漏洞。
蘋果最近推出的iPhone和iPad中的A14、A15和A16晶片確實是M系列晶片的變體,但研究報告和媒體報導顯然指出它們有缺陷。
現在用戶可以做些什麼來解決這個問題嗎?很遺憾,什麼都做不了。
因為這是一個晶片級漏洞,與蘋果晶片的獨特架構有關。這意味著蘋果無法用補丁修復它。應用程式開發人員可以做或實施修復程序來避免漏洞,但這樣做顯然要權衡效能,因此一旦更新,此類應用程式可能會感覺更加遲緩。
當然,要消除風險,用戶也可以將自己的數位貨幣包從易受攻擊的蘋果設備上移除。將它們遷移到其他裝置上,例如Windows PC、iPhone、Android手機等。
Errata Security 執行長Robert Graham 也對此表示:“把你的加密貨幣資產錢包從設備上拿下來,至少現在是這樣。我猜想,現在有人希望實施這種攻擊,並且正在努力。”
雖然M1-M3晶片的設備確實有漏洞,但駭客並不是隨便打開一個開關就能拿走你的資金。一般來說,使用者需要在裝置上安裝惡意軟體,然後攻擊者需要使用被利用的軟體來提取私鑰並存取相關錢包。
蘋果的macOS 對惡意軟體的承受能力也相當強,因為你必須手動允許在裝置上安裝這類應用程式。
Mac預設會阻止未簽署的第三方軟體。但是,如果您喜歡並安裝了來自「身份冒險」開發者的應用程序,那麼在使用可能存在漏洞的M晶片設備時,還是要注意安全。
根據《零日》的報道,這種攻擊也可以在持有使用者金鑰的共享雲端伺服器上進行,因此這也是另一種潛在的攻擊動機。
另外,也有可能透過Javascript程式碼在網站上實施攻擊,這對一般使用者的影響要有效,因為這種不需要安裝任何軟體。當然,這只是理論上可能會發生的情況。
根據零日報告,漏洞也可能被用來解密網路瀏覽器cookie的內容,這可能會讓攻擊者獲得電子郵件帳號等的存取權限,登入使用者的敏感帳號。
根據目前有關該漏洞的報導,Ledger和Trezor等公司的錢包硬體顯然不會受到威脅,因為私鑰需要安裝在具有M1-M3晶片的蘋果設備上才會受到影響。
儘管如此,為了萬一,避免將硬體錢包連接到易受攻擊的設備也是一個好的對策。
Coinbase等中心化交易所將用戶的資金存放在託管錢包中,由於用戶的裝置上沒有私鑰,所以不會直接面臨風險。
但是,如果使用者將Coinbase 帳戶密碼保存在易受攻擊的蘋果裝置上的加密貨幣安全密碼管理器中,那麼可能需要更改密碼,而不是在管理員中更新密碼。
如前所述,理論上攻擊者可以利用這個漏洞從瀏覽cookie中解密帳戶密碼。
毫無疑問,這是一個嚴重的漏洞,但影響普通加密貨幣用戶的可能性似乎很少。透過該漏洞來破解密碼,首先要從儲存中逐步提取足夠的資料來重建密鑰,這個過程可能需要差不多1-10個小時,甚至更久。
這並不意味著不可能,也不意味著不會發生在用戶身上,但這不是速戰速決式的攻擊。
用戶仍然採取預防措施,確保自己不會面臨風險,但如果報告如實,那麼這聽起來不會對普通用戶造成廣泛的威脅。
資訊來源:0x資訊編譯自網際網路。版權歸作者區塊鏈騎士所有,未經許可,不得轉載