苹果系统2大漏洞，黑客有机会偷光你的加密钱包

2023-06-11分类：钱包阅读（）

苹果（Apple）系统传出存在非常严重的漏洞，加密货币等虚拟资产可能被盗走，发生什么事？可以怎么防范？

苹果装置漏洞恐成黑客破口！

只要有一台电脑或一支手机，就可以直接透过App交易加密货币。随着比特币（Bitcoin）价格突破三万美金，越来越多人重新开始投入交易加密货币，但背后却暗藏不少危机与陷阱。

网络安全解决方案卡巴斯基发现，苹果（Apple）系统中，存在一些「非常严重」的漏洞，可能会成为黑客攻击的破口。

据卡巴斯基表示，黑客可以透过作业系统iOS和macOS的漏洞做「任何事情」，甚至可以从攻击目标的设备中窃取加密货币，因此建议苹果用户，尽快将设备更新到iOS 16.4.1和macOS 13.3.1，怎么会这样？

卡巴斯基指出，目前已经发现了两个漏洞，这两个漏洞的组合，让攻击者可以进行「零点击（Zero-click）攻击」。

这是一种将受害者带到网络钓鱼网站的攻击，恶意软体会自动安装在他们的设备中，而不需要「点击」任何页面。安装恶意软体后，攻击者不需要系统的核心操作权限，也可以控制设备执行程式码，甚至还可以直接进入用户的加密货币钱包。

第一个漏洞「CVE-2023-28205」，会影响Safari浏览器使用的WebKit引擎。透过这个漏洞，只要用户浏览受感染的页面，黑客就可以在设备上执行任意的程式码。

第二个漏洞「CVE-2023-28206」，则是影响了IOSurfaceAccelerator，让攻击者可以使用操作系统的核心权限执行程式码。

攻击者可以先透过WebKit引擎漏洞感染设备，然后再透过设备的软体核心权限执行程式码。由于攻击者拥有核心权限，他们就几乎可以在被感染的设备上做任何事情。

更糟的是，WebKit是苹果手机唯一允许的浏览器引擎，因此，即使用户选择Chrome、Firefox等其他浏览器也一样会受到影响。

苹果的这个漏洞，也引起币圈用户的关注，因为区块链去中心化的核心精神，其实也在一定的程度上代表用户必须要「自己」谨慎保护个人资产。

根据卡巴斯基的报告指出，加密货币网络钓鱼攻击，在2022年上升了40%，其中假钱包或假网站是黑客最常用来「钓鱼」的方式。

一般来说，这些钓鱼网站的网址，在品牌名称的拼写上会稍有不同，不过仔细检查根本很难发现。只要用户点进这些钓鱼网站、连上钱包，加密资产就会全部消失。有些黑客还会用Google Ads让他的的「盗版网站」出现在搜索页的最上面，增加用户上当受骗的机率。

这个月，就有发生黑客利用三星Galaxy手机上的漏洞，再透过密码管理工具LastPass，盗走用户价值50,000美元（约为新台币150万元）的加密货币。

因此，用户应随时保持小心谨慎的态度，并且记得采取安全措施，例如，将资金分散在不同的钱包中，并将私钥保存在安全的地方。最重要的是，在点击任何连结之前，都应该彻底评估一下网站和消息的真实性，才不会造成不可挽回的后果。

Tags：