Kaspersky, dostawca cyberbezpieczeństwa i oprogramowania antywirusowego, ma… social&utm_campaign=uk_kdaily_db0077&utm_content=sm-post&utm_term=uk_twitter_organic_b3abkzgqh77u3ud”target=”_blank”>zidentyfikował luki w systemach operacyjnych Apple, które określają jako „bardzo poważne”. Obecnie doradzają właścicielom gadżetów, w tym posiadaczom kryptowalut, aby aktualizowali swoje urządzenia i zabezpieczali się przed atakami hakerskimi wykorzystującymi luki w przestarzałych systemach i sieciach.
Wada smartfonów i komputerów Apple
Firma zajmująca się cyberbezpieczeństwem zaleca użytkownikom aktualizację systemów operacyjnych swoich telefonów do iOS 16.4.1. Tymczasem użytkownicy komputerów powinni zaktualizować swoje systemy operacyjne do wersji macOS 13.3.1. Biorąc pod uwagę powagę wykrytej luki w zabezpieczeniach, Apple wydało również aktualizacje dla starszych systemów operacyjnych.
Kaspersky zauważył, że wykryte zostały dwie luki. Pierwszy, nazwany CVE-2023-28205, wpływa na silnik WebKit, który napędza przeglądarkę Safari; domyślny interfejs surfowania w urządzeniach Apple.
Dzięki tej luce haker lub złośliwy agent może wykonać dowolnego kodu na urządzeniu za każdym razem, gdy użytkownik przegląda zainfekowaną stronę. Druga dziura dotyczyła obiektu IOSurfaceAccelerator. Osoba atakująca może wykonać kod przy użyciu podstawowych uprawnień systemu operacyjnego przez tę dziurę.
Należy zauważyć, że jedno i drugie może również włączyć drugie. Na przykład osoba atakująca może najpierw zainfekować urządzenie za pomocą luki w silniku WebKit przed wykonaniem kodu za pośrednictwem podstawowych uprawnień oprogramowania urządzenia. Ponieważ atakujący ma podstawowe uprawnienia, może praktycznie zrobić wszystko na zainfekowanym urządzeniu.
Sytuację pogarsza fakt, że biorąc pod uwagę system Apple, WebKit Engine jest jedynym dozwolonym silnikiem przeglądarki w smartfonach Apple. W związku z tym, niezależnie od dowolnej innej przeglądarki, którą użytkownik może wybrać, takiej jak Chrome lub Firefox, silnik WebKit jest używany do renderowania stron. Oznacza to, że nawet strona otwarta bezpośrednio z aplikacji w telefonie nadal może zostać naruszona, ponieważ nadal będzie wymagany silnik przeglądarki.
Ataki Crypto Phishing
Powaga tej luki jest szczególnie obawa użytkowników kryptowalut. Cyfrowy charakter aktywów kryptograficznych i ogólne powstanie leżącej u ich podstaw technologii blockchain oznaczają, że użytkownicy muszą zachować ostrożność, aby chronić swoje aktywa.
Niedawny cel firmy Kaspersky raport ujawnia, że liczba ataków phishingowych związanych z kryptografią wzrosła w 2022 r. o 40%. Wykorzystując niezałatane błędy, nikczemny agent może z powodzeniem przeprowadzać ataki phishingowe, tworząc fałszywe portfele i strony internetowe, które mogą nakłaniać użytkowników do przesyłania kluczy prywatnych i inne krytyczne informacje.
W tym miesiącu posiadacz kryptowaluty stracił kryptowaluty o wartości 50 000 USD po hakerze wykorzystał lukę w swoim smartfonie Samsung Galaxy i uzyskał dostęp do LastPass, narzędzia do zarządzania hasłami. Dwa z jego portfeli zostały przejęte, a jego tokeny zostały zamienione na Bitcoiny przed przeniesieniem.
Całkowita kapitalizacja rynkowa spada poniżej 1,2 biliona dolarów | Źródło: Całkowita kapitalizacja rynkowa kryptowalut na TradingView.com
Obraz funkcji z serwisu Canva, wykres z TradingView
