L'azienda ha confermato lunedì che i suoi dispositivi sono colpiti da un difetto che consente l'esecuzione remota di codice malevolo tramite JavaScript basato sul web. Questa vulnerabilità apre un vettore di attacco che potrebbe portare al furto di dati relativi alle crypto da parte di utenti ignari.
Secondo l'ultima divulgazione sulla sicurezza di Apple, gli utenti devono aggiornare il loro JavaScriptCore e il software WebKit alle versioni più recenti per risolvere il problema. Scoperto dai ricercatori del Threat Analysis Group di Google, la vulnerabilità consente "l'elaborazione di contenuti web malevoli", portando a "attacchi di scripting cross-site". Allarmante, Apple ha anche ammesso che il problema "potrebbe essere stato sfruttato attivamente sui sistemi Mac basati su Intel."
Apple ha emesso una divulgazione di sicurezza simile per gli utenti di iPhone e iPad, affermando che il difetto di JavaScriptCore consente "l'elaborazione di contenuti web malevoli, che potrebbe portare all'esecuzione di codice arbitrario." In altre parole, gli hacker potrebbero potenzialmente prendere il controllo degli iPhone o iPad degli utenti se visitano siti malevoli. Apple ha assicurato agli utenti che gli aggiornamenti dovrebbero risolvere il problema.
Jeremiah O’Connor, CTO e co-fondatore della società di cybersicurezza crypto Trugard, ha avvertito che "gli aggressori potrebbero accedere a dati sensibili come chiavi private o password memorizzate nei browser", potenzialmente rubando beni crypto se i dispositivi degli utenti rimangono non aggiornati.
All'inizio di marzo, sono emersi rapporti che i ricercatori di sicurezza avevano trovato vulnerabilità nei chip di generazione precedente di Apple (serie M1, M2 e M3). Questi difetti potrebbero consentire agli hacker di estrarre chiavi crittografiche.
La vulnerabilità sfrutta una tecnica chiamata "prefetching", una funzionalità nei chip di serie M di Apple progettata per accelerare le interazioni con i dispositivi dell'azienda. Il prefetching può memorizzare dati sensibili nella cache del processore, consentendo agli aggressori di recuperare queste informazioni per ricostruire chiavi crittografiche che dovrebbero rimanere inaccessibili.
Sfortunatamente, secondo Ars Technica, questo rappresenta un problema significativo per gli utenti Apple, poiché le vulnerabilità a livello di chip non possono essere corrette tramite aggiornamenti software.