.webp)
5 Minuty
Apple opravuje zero-click zranitelnost v obrázcích, která ohrožuje kryptopeněženky
Apple vydal naléhavou bezpečnostní aktualizaci, která záplatuje zero-click zranitelnost umožňující útočníkům kompromitovat iPhony, iPady a Macy — riziko, které podle bezpečnostních odborníků může vést k okamžitým a nevratným ztrátám pro držitele kryptoměn. Sleduje se jako CVE-2025-43300 a chyba byla nalezena v Apple Image I/O frameworku, který zpracovává obrázky napříč zařízeními Apple.
Co exploit dělá a proč by to mělo zajímat uživatele kryptoměn
Podle advise Apple by mohl speciálně upravený obrázkový soubor vyvolat poškození paměti v komponentě Image I/O a umožnit vzdálené spuštění kódu bez jakékoli uživatelské interakce. To znamená, že pouhé přijetí obrázku — přes iMessage, Mail nebo jinou aplikaci — může útočníkům stačit k tomu, aby na zranitelném zařízení spustili libovolný kód.
Pro každého, kdo na telefonu nebo tabletu uchovává privátní klíče, přístupové údaje do peněženek nebo přihlašovací údaje k burzám, je to obzvlášť nebezpečné. Na rozdíl od tradičních bankovních převodů jsou kryptotransakce nevratné: pokud útočníci vyprázdní peněženku nebo získají přístup k účtu na burze, obnovení prostředků je často nemožné.
Aktualizace a postižená zařízení
Apple okamžitě vydal záplaty jako iOS 18.6.2 a iPadOS 18.6.2 a také aktualizace pro macOS Sequoia 15.6.1, Sonoma 14.7.8 a Ventura 13.7.8. Firma uvedla, že oprava pokrývá iPhony od generace iPhone XS až po řadu iPhone 16, podporované iPady včetně iPad Pro, iPad Air (3. generace a novější), iPad (6. generace a novější) a iPad mini (5. generace a novější), stejně jako Macy běžící na třech posledních verzích macOS.
Apple vyzval uživatele, aby aktualizaci nainstalovali ručně, místo toho aby čekali na automatické aktualizace, aby se předešlo možnému zneužití.
Okamžité kroky k mitigaci pro uživatele kryptoměn
Bezpečnostní odborníci doporučují, aby všichni v kryptoekosystému provedli následující opatření:
- Nainstalujte Apple bezpečnostní aktualizace ručně na všechny iPhony, iPady a Macy, které ovládáte.
- Přesuňte privátní klíče a seed fráze z zařízení, která mohla být kompromitována. Zvažte migraci peněženek na hardware wallet (cold storage), například certifikovaný Ledger nebo jiné důvěryhodné zařízení.
- Zrušte oprávnění aplikací a znovu autentizujte kritické služby jako e‑mail, cloudové úložiště a účty na burzách. Resetujte hesla a povolte silné, jedinečné přístupové fráze a vícefaktorové ověřování (MFA), kde je to možné.
- Pokud podezříváte kompromitaci, zdokumentujte neobvyklé chování systému, ale pamatujte, že systémové logy mohou být pro laika obtížně interpretovatelné.
Tato opatření sníží riziko, že útočníci využijí jediné kompromitované zařízení k přístupu do aplikací peněženek, custodial přihlašovacích údajů nebo cloudově synchronizovaných záloh, které by mohly odhalit privátní klíče.
.avif)
Kontext: rostoucí sofistikovanost útoků na uživatele kryptoměn
Apple uvedl, že obdržel zprávy naznačující, že tato zranitelnost mohla být využita v cílených, vysoce sofistikovaných útocích. Společnost nesdělila, kolik lidí mohlo být cílem, ale bezpečnostní analytici varují, že jakmile se zranitelnost stane veřejně známou, často následuje širší zneužívání.
Naléhavost této záplaty odráží nedávné cílené kampaně proti držitelům kryptoměn. V roce 2024 Kaspersky popsal, jak severokorejská skupina Lazarus využila zero‑day v Google Chrome skrytý ve falešné blockchainové hře k instalaci spyware a získávání přihlašovacích údajů do peněženek, přičemž někdy využívala generativní AI k lákání obětí. Dříve toho roku Trust Wallet varoval před zero‑day exploitem v iMessage, který měl být podle zpráv nabízen na dark webu za 2 miliony dolarů — což zdůrazňuje, jak cenné jsou zero‑click a iMessage zranitelnosti pro aktéry usilující o digitální aktiva.
Širší bezpečnostní prostředí krypta v roce 2025
Zero‑click záplata přichází v době eskalace ztrát v kryptosektoru v roce 2025. CertiK hlásil více než 2,2 miliardy dolarů ztrát způsobených hacky a podvody v první polovině roku. Velké incidenty zkreslily součty — například Bybit utrpěl průnik za 1,5 miliardy dolarů a Cetus Protocol přišel o 225 milionů — ale i bez nich byly ztráty kolem 690 milionů. Jen v červenci mělo 17 velkých průniků zhruba 142 milionů dolarů ztrát, což je nárůst o 27,2 % oproti červnu.
V srpnu patřily mezi vysoce profilované incidenty obvinění z 48milionového exploitu na turecké burze BtcTurk, která pozastavila vklady a výběry z hot‑walletů při zachování fiat operací. DeFi a projekty se smart kontrakty zůstávají také cíli: 8. srpna CrediX Finance podle zpráv zmizela po exploitu za 4,5 milionu dolarů, který zneužil kontrolu nad multisig peněženkou projektu k vytváření nezajištěných tokenů.
Skupiny provozující ransomware dále zvyšují hrozbu. Nová skupina zvaná Embargo podle dostupných informací vyprala od dubna 2024 přes 34 milionů dolarů v kryptu, údajně jako rebranding zaniklé operace BlackCat a zaměřuje se na americká zdravotnická zařízení s výkupným často převyšujícím 1 milion dolarů.
Hlavní poznatky pro jednotlivce a instituce
- Vnímejte bezpečnost zařízení jako první linii obrany pro ochranu peněženek. I složité on‑chain ochrany lze obejít, pokud jsou privátní klíče nebo recovery fráze kompromitovány na zranitelném zařízení.
- Vždy instalujte bezpečnostní záplaty okamžitě. Zero‑click zranitelnosti jako CVE-2025-43300 jsou pro útočníky cenné, protože odstraňují nutnost sociálního inženýrství.
- Upřednostňujte hardware peněženky a offline custody pro významné prostředky. Pokud používáte custodial služby, uplatňujte přísnou operační bezpečnost včetně dedikovaných zařízení, MFA a časté rotace přístupových údajů.
- Monitorujte oficiální advisory od dodavatelů platforem (Apple, Google) a řiďte se osvědčenými postupy od důvěryhodných bezpečnostních firem a auditních služeb.
Instalací Apple aktualizací bez prodlení a revizí praktik držení peněženek mohou uživatelé i organizace snižovat svou expozici vůči spyware na zařízeních a dalším pokročilým hrozbám, které usilují o nevratné krádeže aktiv.
Zdroj: cryptonews
Komentáře