蘋果裝置漏洞恐成駭客破口！

只要有一台電腦或一支手機，就可以直接透過 App 交易加密貨幣。隨著比特幣（Bitcoin）價格突破三萬美金，越來越多人重新開始投入交易加密貨幣，但背後卻暗藏不少危機與陷阱。

網路安全解決方案卡巴斯基發現，蘋果（Apple）系統中，存在一些「非常嚴重」的漏洞，可能會成為駭客攻擊的破口。

據卡巴斯基表示，駭客可以透過作業系統 iOS 和 macOS 的漏洞做「任何事情」，甚至可以從攻擊目標的設備中竊取加密貨幣，因此建議蘋果用戶，盡快將設備更新到 iOS 16.4.1 和 macOS 13.3.1，怎麼會這樣？

蘋果設備為何會受到加密駭客攻擊？

卡巴斯基指出，目前已經發現了兩個漏洞，這兩個漏洞的組合，讓攻擊者可以進行「零點擊（Zero-click）攻擊」。

這是一種將受害者帶到網路釣魚網站的攻擊，惡意軟體會自動安裝在他們的設備中，而不需要「點擊」任何頁面。安裝惡意軟體後，攻擊者不需要系統的核心操作權限，也可以控制設備執行程式碼，甚至還可以直接進入用戶的加密貨幣錢包。

第一個漏洞「CVE-2023-28205」，會影響 Safari 瀏覽器使用的 WebKit 引擎。透過這個漏洞，只要用戶瀏覽受感染的頁面，駭客就可以在設備上執行任意的程式碼。

第二個漏洞「CVE-2023-28206」，則是影響了 IOSurfaceAccelerator，讓攻擊者可以使用操作系統的核心權限執行程式碼。

攻擊者可以先透過 WebKit 引擎漏洞感染設備，然後再透過設備的軟體核心權限執行程式碼。由於攻擊者擁有核心權限，他們就幾乎可以在被感染的設備上做任何事情。

更糟的是，WebKit 是蘋果手機唯一允許的瀏覽器引擎，因此，即使用戶選擇 Chrome、Firefox 等其他瀏覽器也一樣會受到影響。

加密網路釣魚攻擊不斷增加

蘋果的這個漏洞，也引起幣圈用戶的關注，因為區塊鏈去中心化的核心精神，其實也在一定的程度上代表用戶必須要「自己」謹慎保護個人資產。

根據卡巴斯基的報告指出，加密貨幣網路釣魚攻擊，在 2022 年上升了 40%，其中假錢包或假網站是駭客最常用來「釣魚」的方式。

一般來說，這些釣魚網站的網址，在品牌名稱的拼寫上會稍有不同，不過仔細檢查根本很難發現。只要用戶點進這些釣魚網站、連上錢包，加密資產就會全部消失。有些駭客還會用 Google Ads 讓他的的「盜版網站」出現在搜索頁的最上面，增加用戶上當受騙的機率。

這個月，就有發生駭客利用三星 Galaxy 手機上的漏洞，再透過密碼管理工具 LastPass，盜走用戶價值 50,000 美元（約為新台幣 150 萬元）的加密貨幣。

因此，用戶應隨時保持小心謹慎的態度，並且記得採取安全措施，例如，將資金分散在不同的錢包中，並將私鑰保存在安全的地方。最重要的是，在點擊任何連結之前，都應該徹底評估一下網站和消息的真實性，才不會造成不可挽回的後果。