Apple corregeix vulnerabilitats zero-clic que amenacen carteres criptogràfiques

El 25 d’agost de 2025, Apple va publicar una actualització urgent de seguretat per mitigar una vulnerabilitat crítica de zero clics (CVE-2025-43300) dins del seu marc Image I/O. La fallada permetia el processament d’arxius d’imatge manipulats que podien desencadenar escriptures de memòria fora de límits i l’execució de codi arbitrari sense necessitat d’interacció de l’usuari. Aquest tipus d’explotació, sovint classificada com a zero clics, és especialment perillosa per als posseïdors de criptomonedes, ja que es pot utilitzar per comprometre aplicacions de carteres i accedir a claus privades emmagatzemades en un dispositiu.

L’avís d’Apple assenyalava que hi ha proves que la vulnerabilitat s’ha explotat en atacs sofisticats del món real contra objectius d’alt valor. Les plataformes afectades inclouen iOS 18.6.2, iPadOS 18.6.2 i 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 i Ventura 13.7.8. L’empresa ha millorat la verificació de límits en la biblioteca Image I/O per corregir deficiències en la gestió de memòria que permetien escriptures fora de l’abast.

Els experts en seguretat alerten que la naturalesa zero clic del explot permet eliminar els desencadenants típics basats en l’usuari, com ara obrir un document o clicar un enllaç. En canvi, els actors maliciosos poden encabir càrregues malicioses dins de metadades d’imatges distribuïdes a través de plataformes de missatgeria com iMessage. En rebre-les, les rutines drenderització automàtica d’imatges del dispositiu processarien les dades malicioses, provocant el compromís del dispositiu i el possible robatori d’informació sensible — incloent-hi credencials de carteres de criptomonedes, frases de recuperació i tokens d’autenticació d’intercanvis.

Juliano Rizzo, fundador de l’empresa de ciberseguretat Coinspect, va emfatitzar el risc elevat per als usuaris d’actius digitals. Va aconsellar que els objectius d’alt valor rotin immediatament les claus privades i migrin les seves posesions a carteres físiques. Per als usuaris generals, Apple va recomanar la instal·lació ràpida de les actualitzacions de seguretat i la verificació de la versió del programari instal·lat, advertint que retardar el pegat podria deixar els dispositius exposats a més atacs.

El proveïdor d’analítica blockchain CertiK va destacar que vulnerabilitats similars de zero clics han estat aprofitades per actors estatals en campanyes anteriors. La nova fallada d’Apple subratlla la necessitat d’una investigació contínua de vulnerabilitats i pràctiques proactives de divulgació. Marca el sisè zero-day abordat per Apple el 2025, un ritme rècord que reflecteix la creixent capacitat adversària en el medi.

Es recomana a les organitzacions que gestionen operacions massives de criptomonedes que realitzin auditories exhaustives dels dispositius, implementin polítiques estrictes d’actualització i considerin solucions de defensa contra amenaces mòbils capaces de detectar comportaments anòmals indicatius d’explotacions zero clics. També es recomana als desenvolupadors de programari dins de l’ecosistema cripto aïllar els processos de cartera i minimitzar les superfícies d’atac desacoplant les operacions crítiques de signatura del codi d’aplicació d’ús general.

Amb el desplegament del pegat ja actiu, Apple reafirmà el seu compromís amb la mitigació ràpida de vulnerabilitats i la col·laboració amb la comunitat de recerca en seguretat. Els usuaris són dirigits als canals d’assistència d’Apple per obtenir instruccions d’actualització i més orientacions per protegir els dispositius i actius digitals en el panorama de menaces en evolució.