專家指出,目前蘋果公司旗下的 M 系列晶片存在嚴重漏洞,該漏洞可能會導致駭客從用戶的 MacBook 中,竊走加密貨幣私鑰和提取加密貨幣數據的使用權限。
(前情提要:加密貨幣開發社群的好消息!蘋果公司在昨日 Apple 開發者大會中釋出「加密工具 CryptoKit」)
(背景補充:快升級!蘋果爆重大安全漏洞,急更新iOS 16.6.1修補Pegasus零日漏洞)
由美國多所大學組成的一組研究人員,於本週 21 日發佈了一份研究報告指出,蘋果針對旗下電腦產品 MacBook 自行研發並已投入使用的 M 系列晶片存在嚴重安全漏洞「GoFetch」。
該漏洞可能會導致駭客從用戶的 MacBook 中,竊走加密過後的金鑰。
「GoFetch」漏洞無法直接修補
報告指出,研究人員將該漏洞命名為「GoFetch」(側通道)漏洞。且值得注意的是,與可以通過軟體補丁修復的典型漏洞不同,該漏洞的特殊性在於其深深根植於 M 系列晶片本身的微架構設計中,所以無法直接對此進行修補,目前只能透過在第三方加密軟體中的防禦機制來緩解這項問題。
當加密運算和具有一般使用者系統權限的惡意程式,同時在同一個 CPU 集群上執行時,就存在著此漏洞被利用的風險,並且就算是在該集群的不同核心上,GoFetch 也可以挖掘出足以洩漏密鑰的秘密資訊。
但是如果啟動這些第三方加密軟體來防禦,那在執行操作時可能會大大降低 M 系列晶片的效能,尤其是在早期的 M1 和 M2 晶片上。
加密貨幣用戶會有什麼影響?
雖然該漏洞不會直接破解錢包,但它可能會針對 Web 瀏覽器造成攻擊,用戶的 iCloud 備份或電子郵件帳戶可能外洩,因此動區建議最好不要將任何重要私鑰或是助記詞存入在電腦中,以防萬一。
蘋果官方是否會對此採取行動?
針對此嚴重漏洞,在討論 Mac 的相關論壇上,就有用戶開始質疑蘋果公司是否會重視保護加密用戶的密碼安全,採取必要行動:
這對一名普通用戶而言是多大的一個威脅?我剛開始使用 Apple 密碼,我想我現在可以刪除它們並停用它了…
目前尚不清楚它是否會被利用,蘋果可能會在作業系統中減輕它的影響,我並不極度恐慌,但它可能會導致某些操作的速度減慢,儘管可以減輕這種影響。
如果事實證明蘋果無法緩解它,那麼我才會更擔心。
截稿前,蘋果官方尚未就此問題發布聲明、或提供修復方案的相關時間表,但研究人員聲稱在公開發佈之前已對蘋果進行了負責任的披露。
📍相關報導📍
快升級!蘋果爆重大安全漏洞,急更新iOS 16.6.1修補Pegasus零日漏洞