25. srpna 2025 vydala společnost Apple naléhavou bezpečnostní aktualizaci na zmírnění kritické zranitelnosti typu zero-click (CVE-2025-43300) v rámci svého Image I/O frameworku. Tato chyba umožňovala zpracování upravených obrazových souborů, které mohly vyvolat zápisy mimo rozsah paměti a spuštění libovolného kódu bez nutnosti uživatelské interakce. Tento typ exploitu, často klasifikovaný jako zero-click, je zvláště nebezpečný pro držitele kryptoměn, protože může být použit ke kompromitaci aplikací peněženek a přístupu k soukromým klíčům uloženým na zařízení.
Apple ve svém bezpečnostním upozornění uvedl, že existují důkazy o zneužití této zranitelnosti v sofistikovaných reálných útocích zaměřených na cíle s vysokou hodnotou. Postiženy jsou platformy iOS 18.6.2, iPadOS 18.6.2 a 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 a Ventura 13.7.8. Společnost posílila kontroly rozsahu v knihovně Image I/O, aby napravila nedostatky v manipulaci s pamětí, které umožňovaly zápisy mimo povolený rozsah.
Bezpečnostní experti varují, že povaha exploitu zero-click eliminuje obvyklé spouštěče řízené uživatelem, jako je otevření dokumentu nebo kliknutí na odkaz. Místo toho mohou útočníci zakódovat škodlivý kód do metadat obrazů distribuovaných prostřednictvím komunikačních platforem jako iMessage. Po přijetí automatické rutiny zařízení pro vykreslení obrázku zpracují škodlivá data, což vede k kompromitaci zařízení a potenciální krádeži citlivých informací – včetně přihlašovacích údajů k peněženkám, obnovovacích frází a autentizačních tokenů burz.
Juliano Rizzo, zakladatel kyberbezpečnostní firmy Coinspect, zdůraznil zvýšené riziko pro uživatele digitálních aktiv. Doporučil, aby vysoce hodnotné cíle okamžitě rotovaly své soukromé klíče a převedly držby na hardwarové peněženky. Obecným uživatelům Apple doporučil rychlou instalaci bezpečnostních aktualizací a ověření verzí nainstalovaného softwaru, varujíc, že odložení opravy může ponechat zařízení vystavená dalším útokům.
Poskytovatel blockchainové analytiky CertiK upozornil, že podobné zranitelnosti zero-click byly v minulosti zneužity národními státními aktéry v předchozích kampaních. Nová chyba Apple podtrhuje potřebu kontinuálního výzkumu zranitelností a proaktivních praktik zveřejňování. Jedná se o šestou zero-day zranitelnost, kterou Apple v roce 2025 řeší, což je rekordní tempo odrážející rostoucí schopnosti protivníků v reálném prostředí.
Organizacím zabývajícím se kryptoměnami ve velkém měřítku se doporučuje provést důkladné audity zařízení, prosadit přísné zásady aktualizací a zvážit řešení mobilní obrany proti hrozbám, která dokáží detekovat abnormální chování indikující exploity zero-click. Vývojáři softwaru v kryptosystému jsou rovněž upozorněni, aby izolovali procesy peněženek a minimalizovali povrch útoku oddělením kritických operací podepisování od univerzálního aplikačního kódu.
S nasazením opravy nyní Apple znovu potvrdil svůj závazek k rychlému zmírnění zranitelností a spolupráci s komunitou bezpečnostních výzkumníků. Uživatelé jsou nasměrováni na podpůrné kanály Apple pro pokyny k aktualizacím a další rady ohledně zabezpečení zařízení a digitálních aktiv v měnícím se prostředí hrozeb.
Komentáře (0)