蘋果裝置漏洞恐成駭客破口!
只要有一台電腦或一支手機,就可以直接透過App交易加密貨幣。隨著比特幣(Bitcoin)價格突破三萬美金,越來越多人重新開始投入交易加密貨幣,但背後卻暗藏不少危機與陷阱。
網路安全解決方案卡巴斯基發現,蘋果(Apple)系統中,存在一些「非常嚴重」的漏洞,可能會成為駭客攻擊的破口。
據卡巴斯基表示,駭客可以透過作業系統iOS和macOS的漏洞做「任何事情」,甚至可以從攻擊目標的設備中竊取加密貨幣,因此建議蘋果用戶,盡快將設備更新到iOS 16.4.1和macOS 13.3.1,怎麼會這樣?
📍邀請您加入Web3+ Line社群,持續關注最重要的網路變革
👉https://lin.ee/kItnyTh
蘋果設備為何會受到加密駭客攻擊?
卡巴斯基指出,目前已經發現了兩個漏洞,這兩個漏洞的組合,讓攻擊者可以進行「零點擊(Zero-click)攻擊」。
這是一種將受害者帶到網路釣魚網站的攻擊,惡意軟體會自動安裝在他們的設備中,而不需要「點擊」任何頁面。安裝惡意軟體後,攻擊者不需要系統的核心操作權限,也可以控制設備執行程式碼,甚至還可以直接進入用戶的加密貨幣錢包。
第一個漏洞「CVE-2023-28205」,會影響Safari瀏覽器使用的WebKit引擎。透過這個漏洞,只要用戶瀏覽受感染的頁面,駭客就可以在設備上執行任意的程式碼。
第二個漏洞「CVE-2023-28206」,則是影響了IOSurfaceAccelerator,讓攻擊者可以使用操作系統的核心權限執行程式碼。
攻擊者可以先透過WebKit引擎漏洞感染設備,然後再透過設備的軟體核心權限執行程式碼。由於攻擊者擁有核心權限,他們就幾乎可以在被感染的設備上做任何事情。
更糟的是,WebKit是蘋果手機唯一允許的瀏覽器引擎,因此,即使用戶選擇Chrome、Firefox等其他瀏覽器也一樣會受到影響。
加密網路釣魚攻擊不斷增加
蘋果的這個漏洞,也引起幣圈用戶的關注,因為區塊鏈去中心化的核心精神,其實也在一定的程度上代表用戶必須要「自己」謹慎保護個人資產。
根據卡巴斯基的報告指出,加密貨幣網路釣魚攻擊,在2022年上升了40%,其中假錢包或假網站是駭客最常用來「釣魚」的方式。
一般來說,這些釣魚網站的網址,在品牌名稱的拼寫上會稍有不同,不過仔細檢查根本很難發現。只要用戶點進這些釣魚網站、連上錢包,加密資產就會全部消失。有些駭客還會用Google Ads讓他的的「盜版網站」出現在搜索頁的最上面,增加用戶上當受騙的機率。
這個月,就有發生駭客利用三星Galaxy手機上的漏洞,再透過密碼管理工具LastPass,盜走用戶價值50,000美元(約為新台幣150萬元)的加密貨幣。
因此,用戶應隨時保持小心謹慎的態度,並且記得採取安全措施,例如,將資金分散在不同的錢包中,並將私鑰保存在安全的地方。最重要的是,在點擊任何連結之前,都應該徹底評估一下網站和消息的真實性,才不會造成不可挽回的後果。
資料來源:bitcoinist、beincrypto
核稿編輯:高敬原
