蘋果芯片漏洞會竊取Crypto資產?您需要知道這些

2024-03-27 14:03:13

蘋果的Macbook和iPad上可能存在一個嚴重漏洞,會暴露某些設備上的Crypto密鑰和密碼。

據多所大學的研究人員稱,蘋果M系列芯片中存在一個漏洞,可能被黑客通過惡意軟件攻擊來竊取Crypto密鑰,包括Crypto資產錢包的安全密鑰

雖然這個漏洞在現實中的風險性可能很低,但如果用戶在M系列芯片的Macbook上持有大量Crypto資產,就不得不重視這一情況。

下面是報告披露的一些關鍵信息。

研究人員上周宣布,他們在Mac和iPad使用的蘋果M系列芯片中發現了一個關鍵漏洞,攻擊者有可能利用該漏洞獲取Crypto安全密鑰和代碼。

這個問題可以歸結為一種叫做“預取”的技術,蘋果公司自己的M系列芯片可以利用這種技術加快用戶與設備的交互

通過“預取”技術,設備可以監控用戶最常見的活動,並將數據保存在用戶的設備上,從而加快交互速度。但這種技術現在顯然可以被利用了。

研究人員說,他們能夠創建一個應用程序,成功“誘騙”處理器將一些預取數據放入緩存,然後該應用程序就可以訪問這些數據並用來重建Crypto密鑰。這是一個潛在的大問題。

如果用戶使用的Mac或iPad配備了蘋果M系列處理器(包括M1、M2 或 M3),那么設備就有可能受到該漏洞的影響。

M1處理器於2020年底在MacBook Air、MacBook Pro和Mac Mini上推出,後來擴展到Mac臺式機甚至iPad平板電腦。

M2處理器和當前的M3處理器在電腦和平板電腦中也容易受到影響,M2芯片甚至用於蘋果Vision Pro耳機。

但根據Ars Technica的報道,在M3芯片中,受漏洞影響的數據內存預取器增加了一個“特殊位”,开發人員可以調用該“特殊位”來禁用數據保存功能,盡管因此會對性能造成一定程度的影響

如果用戶配備的是英特爾處理器的老款Mac,那么就不會受到影響。在蘋果开發自己的芯片之前,多年來一直使用英特爾處理器。

同樣,如果用戶的iPad(無論新舊)使用的是蘋果公司的A系列芯片(iPhone也採用該芯片),那么似乎也不會有風險。只有M1、M2和M3芯片因其設計方式而存在漏洞。

蘋果最近推出的iPhone和iPad中的A14、A15和A16 l芯片確實是M系列芯片的變體,但研究報告和媒體報道並未指出它們存在漏洞。

那么用戶可以做什么來解決這個問題?很遺憾,什么也做不了。

因為這是一個芯片級漏洞,與蘋果芯片的獨特架構有關。這意味着蘋果無法用補丁修復它。應用程序开發人員可以做的是實施修復程序來避免該漏洞,但這樣做顯然要權衡性能,因此一旦更新,此類應用程序可能會感覺更加遲緩。

當然,要消除風險,用戶也可以將自己的Crypto錢包從易受攻擊的蘋果設備上移除。將它們遷移到其他設備上,例如Windows PC、iPhone、安卓手機等。

Errata Security首席執行官Robert Graham也對此表示:“ 把你的Crypto資產錢包從設備上拿下來,至少現在是這樣。我猜想,現在有人希望實施這種攻擊,並且正在努力 。”

雖然裝有M1-M3芯片的設備確實存在漏洞,但黑客並不是隨便打开一個开關就能拿走你的資金。一般來說,用戶需要在設備上安裝惡意軟件,然後攻擊者需要使用被利用的軟件提取私鑰並訪問相關錢包。

蘋果公司的macOS對惡意軟件的抵御能力也相當強,因為你必須手動允許在設備上安裝此類應用程序。

Mac默認阻止未籤名的第三方軟件。不過,如果你喜歡冒險並安裝了來自“身份不明”开發者的應用程序,那么在使用可能存在漏洞的M芯片設備時,還是要注意安全。

根據《Zero Day》的報道,這種攻擊也可以在持有用戶密鑰的共享雲服務器上進行,因此這也是另一種潛在的攻擊媒介。

另外,也有可能通過Javascript代碼在網站上實施這種攻擊,這對普通用戶的影響要有效得多,因為不需要安裝任何軟件。當然,這只是理論上可能會發生的情況。

根據Zero Day報道,該漏洞還有可能被用來解密網絡瀏覽器cookie的內容,從而可能讓攻擊者獲得電子郵件账戶等的訪問權限,登錄用戶的敏感账戶

根據目前有關該漏洞的報道,Ledger和Trezor等公司的硬件錢包顯然不會受到威脅,因為私鑰需要安裝在帶有M1-M3芯片的蘋果設備上才會受到影響。

盡管如此,為了以防萬一,避免將硬件錢包連接到易受攻擊的設備也是一個好的對策。

Coinbase等中心化交易所將用戶的資金存放在托管錢包中,由於用戶的設備上沒有私鑰,所以不會直接面臨風險。

但是,如果用戶將Coinbase账戶密碼保存在易受攻擊的蘋果設備上的Crypto安全密碼管理器中,那么可能需要更改密碼,而不是在管理器中更新密碼。

如前所述,理論上攻擊者可以利用這個漏洞從瀏覽cookie中解密账戶密碼。

毫無疑問,這是一個嚴重的漏洞,但影響普通Crypto用戶的可能性似乎很低 。通過該漏洞來破解密碼,首先要從緩存中逐漸提取足夠的數據來重建密鑰,這個過程可能需要大約1-10個小時,甚至更久。

這並不意味着不可能,也不意味着不會發生在用戶身上,但這並不是一種速战速決式的攻擊。

用戶仍然應該採取預防措施,確保自己不會面臨風險,但如果報告准確,那么這聽起來不會對普通用戶造成廣泛威脅

鄭重聲明:本文版權歸原作者所有,轉載文章僅為傳播信息之目的,不構成任何投資建議,如有侵權行為,請第一時間聯絡我們修改或刪除,多謝。

推薦文章

比特幣、以太坊 OTC 市場交易量飆升!機構投資熱潮湧入

近 期加密貨幣場外交易(OTC)市場的交易量激增,美國加密貨幣交易所 Kraken 的機構業務主管...

Arthur Wang
1 4小時前

麻吉大哥轉移總量12%的Cream至幣安,Hyperliquid加持下埋伏暴漲?

2 020 年由麻吉大哥黃立成創辦的借貸平臺 Cream Finance,其平臺幣 $CREAM...

DaFi Weaver
1 4小時前

市場未來一個月展望:痛苦與機遇並存,要學會在輪動中獲利

在未來一個月的市場展望中,作者認為投資者面臨著痛苦與機遇並存的局面。提醒讀者需謹慎應對可能的回撤,...

深潮 Techflow
1 4小時前

24H熱門幣種與要聞 | 俄羅斯正在對外貿易中使用比特幣;韓國加密投資者數量突破1500萬,交易量比肩股市(12.26)

24 H 熱門幣種 1、CEX 熱門幣種 CEX 成交額 Top 10 及 24 小時漲跌幅: B...

星球日報
2 4小時前

加密時代的職務犯罪:北京億元涉幣職務侵佔案,追贓 8900 萬

撰文:肖颯法律團隊 所謂「職務犯罪」在我國刑法體系中,並非一個單一的罪名,而是指國家機關、國有公司...

肖颯lawyer
1 4小時前

一文縱覽 2024 Memecoin 超級周期

撰文:shaofaye123 Memecoin 是 2024 年繞不开的主題,狗狗幣(Dogeco...

ForesightNews
2 4小時前