苹果(Apple)系统传出存在非常严重的漏洞,加密货币等虚拟资产可能被盗走,发生什么事?可以怎么防范?
苹果装置漏洞恐成黑客破口!
只要有一台电脑或一支手机,就可以直接透过App交易加密货币。随着比特币(Bitcoin)价格突破三万美金,越来越多人重新开始投入交易加密货币,但背后却暗藏不少危机与陷阱。
网络安全解决方案卡巴斯基发现,苹果(Apple)系统中,存在一些「非常严重」的漏洞,可能会成为黑客攻击的破口。
据卡巴斯基表示,黑客可以透过作业系统iOS和macOS的漏洞做「任何事情」,甚至可以从攻击目标的设备中窃取加密货币,因此建议苹果用户,尽快将设备更新到iOS 16.4.1和macOS 13.3.1,怎么会这样?
苹果设备为何会受到加密黑客攻击?
卡巴斯基指出,目前已经发现了两个漏洞,这两个漏洞的组合,让攻击者可以进行「零点击(Zero-click)攻击」。
这是一种将受害者带到网络钓鱼网站的攻击,恶意软体会自动安装在他们的设备中,而不需要「点击」任何页面。安装恶意软体后,攻击者不需要系统的核心操作权限,也可以控制设备执行程式码,甚至还可以直接进入用户的加密货币钱包。
第一个漏洞「CVE-2023-28205」,会影响Safari浏览器使用的WebKit引擎。透过这个漏洞,只要用户浏览受感染的页面,黑客就可以在设备上执行任意的程式码。
第二个漏洞「CVE-2023-28206」,则是影响了IOSurfaceAccelerator,让攻击者可以使用操作系统的核心权限执行程式码。
攻击者可以先透过WebKit引擎漏洞感染设备,然后再透过设备的软体核心权限执行程式码。由于攻击者拥有核心权限,他们就几乎可以在被感染的设备上做任何事情。
更糟的是,WebKit是苹果手机唯一允许的浏览器引擎,因此,即使用户选择Chrome、Firefox等其他浏览器也一样会受到影响。
加密网络钓鱼攻击不断增加
苹果的这个漏洞,也引起币圈用户的关注,因为区块链去中心化的核心精神,其实也在一定的程度上代表用户必须要「自己」谨慎保护个人资产。
根据卡巴斯基的报告指出,加密货币网络钓鱼攻击,在2022年上升了40%,其中假钱包或假网站是黑客最常用来「钓鱼」的方式。
一般来说,这些钓鱼网站的网址,在品牌名称的拼写上会稍有不同,不过仔细检查根本很难发现。只要用户点进这些钓鱼网站、连上钱包,加密资产就会全部消失。有些黑客还会用Google Ads让他的的「盗版网站」出现在搜索页的最上面,增加用户上当受骗的机率。
这个月,就有发生黑客利用三星Galaxy手机上的漏洞,再透过密码管理工具LastPass,盗走用户价值50,000美元(约为新台币150万元)的加密货币。
因此,用户应随时保持小心谨慎的态度,并且记得采取安全措施,例如,将资金分散在不同的钱包中,并将私钥保存在安全的地方。最重要的是,在点击任何连结之前,都应该彻底评估一下网站和消息的真实性,才不会造成不可挽回的后果。