25 sierpnia 2025 roku Apple wydało pilną aktualizację bezpieczeństwa, aby złagodzić krytyczną lukę zero-click (CVE-2025-43300) w ramach swojego Image I/O. Błąd umożliwiał przetwarzanie spreparowanych plików graficznych, które mogły wywołać zapis pamięci poza dozwolonym zakresem i dowolne wykonanie kodu bez konieczności interakcji użytkownika. Ten typ exploitu, często klasyfikowany jako zero-click, jest szczególnie niebezpieczny dla posiadaczy kryptowalut, ponieważ może być użyty do przejęcia aplikacji portfeli oraz dostępu do prywatnych kluczy przechowywanych na urządzeniu.
Rada bezpieczeństwa Apple zaznaczyła, że istnieją dowody na wykorzystywanie tej luki w skomplikowanych atakach na cele o wysokiej wartości. Dotknięte platformy to iOS 18.6.2, iPadOS 18.6.2 i 17.7.10, macOS Sequoia 15.6.1, Sonoma 14.7.8 oraz Ventura 13.7.8. Firma poprawiła kontrolę zakresu w bibliotece Image I/O, aby naprawić błędy obsługi pamięci, które pozwalały na zapisy poza zakresem.
Eksperci ds. bezpieczeństwa ostrzegają, że charakter exploitu zero-click eliminuje typowe wyzwalacze inicjowane przez użytkownika, takie jak otwieranie dokumentu czy klikanie w link. Zamiast tego, złośliwi aktorzy mogą osadzać ładunki w metadanych obrazów rozsyłanych za pośrednictwem platform komunikacyjnych, takich jak iMessage. Po otrzymaniu, automatyczne procedury renderowania obrazu urządzenia przetworzą złośliwe dane, prowadząc do kompromitacji urządzenia i potencjalnej kradzieży wrażliwych informacji — w tym poświadczeń portfeli kryptowalutowych, fraz odzyskiwania oraz tokenów uwierzytelniających giełdy.
Juliano Rizzo, założyciel firmy cybersecurity Coinspect, podkreślił podwyższone ryzyko dla użytkowników aktywów cyfrowych. Zalecił, aby cele o wysokiej wartości natychmiast rotowały klucze prywatne i przenosiły środki do portfeli sprzętowych. Dla ogólnych użytkowników Apple rekomendowało szybkie instalowanie aktualizacji bezpieczeństwa i weryfikację wersji zainstalowanego oprogramowania, ostrzegając, że zwlekanie z łatą może pozostawić urządzenia narażone na dalsze ataki.
Dostawca analityki blockchain CertiK podkreślił, że podobne luki zero-click były wykorzystywane przez państwowe grupy hakerskie w poprzednich kampaniach. Nowy błąd Apple podkreśla konieczność ciągłych badań podatności i proaktywnych praktyk ujawniania. To już szósta luka zero-day załatana przez Apple w 2025 roku, co stanowi rekordowy wskaźnik odzwierciedlający rosnące zdolności przeciwników w środowisku rzeczywistym.
Organizacje zarządzające dużymi operacjami kryptowalutowymi są zobowiązane do przeprowadzania dokładnych audytów urządzeń, egzekwowania rygorystycznych polityk aktualizacji oraz rozważenia wdrożenia rozwiązań ochrony przed zagrożeniami mobilnymi, które mogą wykrywać anomalie wskazujące na exploity zero-click. Deweloperom oprogramowania w ekosystemie kryptowalut zaleca się także izolowanie procesów portfeli i minimalizowanie powierzchni ataku poprzez oddzielanie krytycznych operacji podpisywania od kodu ogólnego przeznaczenia.
Wraz z wdrożeniem łatki Apple potwierdziło swoje zobowiązanie do szybkiego łagodzenia luk i współpracy ze społecznością badaczy bezpieczeństwa. Użytkownicy są kierowani do kanałów wsparcia Apple po instrukcje aktualizacji oraz dalsze wskazówki dotyczące zabezpieczenia urządzeń i aktywów cyfrowych w zmieniającym się krajobrazie zagrożeń.
Komentarze (0)