Veszélyben lehetnek az Apple-készülékeken tárolt kulcsok és jelszavak
Az utóbbi heteket tekintve nem először kerül elő az Apple a médiában, sajnos ismét negatív környezetben. Az M-sorszámú chippel rendelkező Apple készülékek komoly gyári hibával kerültek forgalomba, mely veszélybe sodorhatja az eszközökön tárolt adatokat, kulcsokat és jelszavakat, ezzel pedig többek között a tárcákon tárolt kriptovaluták is veszélyben lehetnek. Habár az átlagfelhasználókat valószínűleg soha nem fogja érinteni a probléma, nem árt kellő óvatossággal eljárni a kockázat minimalizálása érdekében.
Mi a probléma?
Az Apple Mac számítógépek és iPad táblagépek potenciális veszélynek vannak kitéve egy komoly sérülékenységnek köszönhetően. Különböző egyetemek kutatói szerint az Apple M-sorozatú chipjeinek hibáját a hackerek rosszindulatú támadásokon keresztül felhasználhatják a titkosítási kulcsok ellopására. Habár a korábbi, Intel chippel rendelkező eszközökre ez a probléma nem vonatkozik, a 2020 után megjelent eszközök „előzetes letöltési” technikája rejtheti a kockázatot az M1, M2 és M3 processzorral rendelkező eszközök számára, melyek potenciálisan érzékeny biztonsági réssel rendelkeznek.
Az Apple saját gyártású M-sorozatú chipjei lehetővé teszik, hogy az eszközökkel való interakció felgyorsuljon, ezáltal pedig a leggyakoribb tevékenységek (pl. felhasználói fiókokba való rendszeres belépés) követhetőbbé válnak. Az interakció lényege, hogy a rendszeresen használt adatokat mindig kéznél tartja, ugyanakkor a technika láthatóan kiaknázhatóvá vált rosszindulatú csalások elkövetésére is. A kutatók által létrehozott alkalmazás sikeresen „csapta be” a processzort, így az előre letöltött adatok egy része átkerült a gyorsítótárba, onnan pedig a rosszindulatú, telepített alkalmazás hozzáfért a kulcsokhoz és jelszavakhoz.
Mit lehet tenni ellene?
Azáltal, hogy egy chip-szintű sebezhetőségi problémáról van szó, nem lehet tenni a probléma megoldása érdekében semmit. Az Apple chipek egyedi architektúrájukból adódóan egy illesztőprogram frissítésével vagy a rendszer újratelepítésével sem oldódik meg a fennálló kockázat. A felhasználóknak ebből kifolyólag érdemes lehet preventív jelleggel a szoftvertárcákat eltávolítani Apple eszközeikről, áttenni őket egy Windows PC-re vagy Android telefonr – ezt javasolja az Errata Security vezérigazgatója, Robert Graham is.
Noha az M1, M2, M3 chipek sebezhetőek, a hackerek nem férhetnek hozzá adatainkhoz bármikor. Az Apple macOS meglehetősen ellenálló azokkal a rosszindulatú programokkal szemben, melyek ezeket a kulcsokat kinyerhetik, de ehhez először is a programok telepítése szükséges. Ebből kifolyólag érdemes körültekintően eljárni, mielőtt bármilyen programot telepítünk, bárhova elmentjük a jelszavainkat vagy felhatalmazást adunk egy oldalnak, hogy hozzáférhet az adatainkhoz. A támadás egy felhőrendszeren keresztül is végrehajtható, így előfordulhat, hogy a hackerek a webböngésző-cookie tartalmának a visszafejtésével jut hozzá adatainkhoz. Az érintett felhasználóknak ebből kifolyólag érdemes lehet a böngészési sütiket gyakran törölni vagy jelszavaikat megváltoztatni.
A jelenlegi jelentések alapján a Ledger és Trezor nincsenek veszélyben, ugyanakkor a privát kulcsok védelme érdekében, ha nem muszáj, kerüljük el a csatlakoztatásukat az érintett eszközökhöz. Az olyan központosított tőzsdék, mint a Coinbase a kriptovalutákat őrzött tárcákban tárolják, ezáltal a magánkulcsokhoz nincs hozzáférésük. Viszont az Apple-eszközök jelszókezelői rejthetnek hozzáférést a centralizált tőzsdék adataihoz, ezáltal érdemes lehet a jelszavakat módosítani a jobb félni, mint megijedni alapon.
Mennyire komoly a probléma?
Kétségtelenül komoly sebezhetőségi probléma merült fel az eddig legbiztonságosabbnak hitt eszközökön, ugyanakkor annak a valószínűsége, hogy egy átlagos kripto-felhasználót támadás ér, meglehetősen alacsony. Ennek az az oka, hogy a biztonsági rés révén feltört titkosítás megszerzése akár 1-10 órát is igénybe vehet, mely a hackereknek és rosszindulatú behatolóknak túl nagy időtáv. Annak ellenére, hogy nem éri meg a hackereknek ezzel a módszerrel vívódni, még nem azt jelenti, hogy nem lesz rá precedens. Az óvintézkedések betartása mindenki számára ajánlott, hiszen a digitalizáció számos veszélyt rejt, a 2020-as évekre pedig az adat lett a legértékesebb fizetőeszköz.