مک های اپل یک نقص مهلک دارند که به هکرها اجازه می دهد رمزنگاری شما را بدزدند - و هیچ راه حلی وجود ندارد - رمزگشایی

هکرها راه جدیدی برای تلاش و سرقت رمزنگاری شما دارند—و اگر از دستگاه اپل ساخته شده در نیم دهه گذشته استفاده می کنید، کار زیادی برای کاهش حمله نمی توانید انجام دهید.

محققان امنیتی یک آسیب‌پذیری را در جدیدترین تراشه‌های رایانه‌ای اپل کشف کرده‌اند - سری M1، M2 و M3 آن، که تمام آخرین دستگاه‌های آن را تامین می‌کند - که می‌تواند به هکرها اجازه دهد کلیدهای رمزنگاری را که برای محافظت از داده‌ها در برابر افشای طراحی شده‌اند، بدزدند. این شامل کلیدهای کیف پول های رمزنگاری نرم افزاری است که روی دستگاه های آسیب پذیر اپل نصب شده اند.

متیو گرین، رمزنگار و استاد علوم کامپیوتر در دانشگاه جانز هاپکینز، هدف احتمالی یک سوء استفاده مخرب «کاربران رده بالا، مانند کسی که کیف پول ارزهای دیجیتال با پول زیادی دارد، خواهد بود». گفته شده نویسنده و روزنامه نگار کیم زتر. اگرچه یک حمله «عملی» نیست، اما می‌تواند با هدف رمزگذاری مرورگر وب باشد – که بر برنامه‌های مبتنی بر مرورگر مانند MetaMask، پشتیبان‌گیری iCloud یا حساب‌های ایمیل تأثیر می‌گذارد.

این هک بالقوه به نام "سوء استفاده GoFetch" نامگذاری شده است گزارش توسط تیمی از دانشمندان دانشگاه ایلینویز Urbana-Champaign (UIUC)، دانشگاه تگزاس، آستین، جورجیا تک، UC برکلی، دانشگاه واشنگتن و دانشگاه کارنگی ملون منتشر شد. با دسترسی به حافظه پنهان CPU کامپیوتر از طریق پیش‌فرشگرهای وابسته به حافظه داده (DMP) که در تراشه‌ها تعبیه شده است، کار می‌کند.

محققان گفتند: "در یک حمله کانال جانبی حافظه پنهان، مهاجم با مشاهده عوارض جانبی دسترسی های مخفی برنامه قربانی به حافظه نهان پردازنده، راز برنامه قربانی را استنباط می کند." و افزودند که این آزمایش با استفاده از Apple M1 4 تایید شده است. هسته های فایر طوفان (عملکرد). ما فرض می‌کنیم که مهاجم و قربانی حافظه مشترکی ندارند، اما مهاجم می‌تواند کانال‌های جانبی ریزمعماری را که در دسترس است، مانند تأخیر حافظه پنهان، نظارت کند.

افشای امروز با بهره برداری پیش از واکشی موسوم به "Augury" که در سال 2022 اعلام شد متفاوت است، اگرچه مکانیسم مشابهی را شامل می شود.

محققان گفتند که یافته های خود را در 5 دسامبر 2023 به اپل اطلاع دادند و بیش از 100 روز قبل از انتشار عمومی مقاله تحقیقاتی و تحقیقاتی گذشته بود. وب سایت همراه.

سخنگوی اپل در ایمیلی به این موضوع گفت رمزگشایی کنید که این شرکت از تلاش های مشترک محققان سپاسگزار است و تأثیر قابل توجه کار آنها را در پیشبرد درک تهدیدهای امنیتی خاص برجسته می کند.

در حالی که آنها توضیح بیشتری ندادند، سخنگوی اپل اشاره کرد رمزگشایی کنید به یک توسعه دهنده پست توسط اپل که نشان می دهد چگونه می توان حمله را کاهش داد. راه‌حل پیشنهادی می‌تواند عملکرد برنامه را کاهش دهد، زیرا به این معنی است که سرعت پردازش در بدترین حالت را برای جلوگیری از فراخوانی حافظه پنهان فرض کنید. علاوه بر این، تغییرات باید توسط سازندگان نرم افزار MacOS انجام شود، نه کاربران.

زتر می گوید علیرغم پست منتشر شده، پاسخ اپل کوتاهی کرده است.

زتر: «اپل در تراشه‌های M3 خود که در [اکتبر] عرضه شد، راه‌حلی برای این موضوع اضافه کرد توییت، "اما به توسعه دهندگان در مورد اصلاح در [اکتبر] گفته نشد تا بتوانند آن را فعال کنند. اپل فقط دیروز دستورالعملی را در مورد نحوه فعال کردن رفع مشکل به سایت توسعه دهنده خود اضافه کرد.

برای کاربران کریپتو، این بدان معناست که این وظیفه سازندگان کیف پول مانند MetaMask و Phantom است که یک وصله برای محافظت در برابر سوء استفاده پیاده‌سازی کنند. مشخص نیست که آیا هر یک از شرکت ها هنوز این تلاش ها را انجام داده اند یا خیر و نمایندگان متامسک و فانتوم فورا به آن پاسخ نداده اند. رمزگشایی کنیددرخواست نظر.

در حال حاضر، اگر یک کیف پول رمزنگاری بر روی دستگاه آسیب پذیر اپل نصب کرده اید، تنها کاری که می توانید انجام دهید این است که کیف پول را از دستگاه جدا کنید تا آن را ایمن کنید. (اگر از یک دستگاه اپل قدیمی تر استفاده می کنید که مثلاً یک تراشه اینتل دارد، مطمئن نیستید.)

کاربران اپل مدت‌هاست که به دلیل نحوه طراحی دستگاه‌های MacOS و iOS، خود را از حملات بدافزار ایمن می‌دانند. با این حال، جداگانه گزارش در ژانویه، شرکت امنیت سایبری کسپرسکی زنگ خطر را در مورد «خلاقیت غیرمعمول» در ساخت بدافزارهایی که دستگاه‌های سیلیکون اینتل و اپل را هدف قرار می‌دهند به صدا درآورد.

کسپرسکی گفت که بدافزار اپل کاربران کیف پول Exodus را هدف قرار داده و سعی می‌کند آنها را وادار به دانلود نسخه جعلی و مخرب نرم‌افزار کند.

ویرایش شده توسط رایان اوزاوا.

• محتوای مبتنی بر SEO و توزیع روابط عمومی. امروز تقویت شوید.
• PlatoData.Network Vertical Generative Ai. به خودت قدرت بده دسترسی به اینجا.
• PlatoAiStream. هوش وب 3 دانش تقویت شده دسترسی به اینجا.
• PlatoESG. کربن ، CleanTech، انرژی، محیط، خورشیدی، مدیریت پسماند دسترسی به اینجا.
• PlatoHealth. هوش بیوتکنولوژی و آزمایشات بالینی. دسترسی به اینجا.
• منبع: https://decrypt.co/223062/apple-chip-flaw-hackers-steal-crypto-go-fetch