今日运势评分

-7

本月运势

癸未月

震荡偏多

比肩争财,寅冲申
丁不剃头头必生疮
丑不冠带主不还乡

破屋,坏垣,馀事勿取

诸事不宜

月相

渐盈凸

冲顶回落

日冲

Powered by RitMEX

TRUMP8.53 -1.16%

SUI2.84 -2.28%

TON2.73 -4.08%

TRX0.29 -0.49%

DOGE0.17 -2.75%

XRP2.26 -0.31%

SOL149.05 -1.43%

BNB658.88 -0.35%

ETH2527.63 -1.39%

BTC107774.32 -1.15%

ETH Gas0.33 Gwei

贪婪
73

苹果芯片漏洞会窃取 Crypto 资产?你需要知道这些

该漏洞主要存在于苹果 M 系列处理器上。

来源:Decrypt

编译:区块链骑士

苹果的 Macbook 和 iPad 上可能存在一个严重漏洞,会暴露某些设备上的 Crypto 密钥和密码。

据多所大学的研究人员称,苹果 M 系列芯片中存在一个漏洞,可能被黑客通过恶意软件攻击来窃取 Crypto 密钥,包括 Crypto 资产钱包的安全密钥

虽然这个漏洞在现实中的风险性可能很低,但如果用户在 M 系列芯片的 Macbook 上持有大量 Crypto 资产,就不得不重视这一情况。

下面是报告披露的一些关键信息。

研究人员上周宣布,他们在 Mac 和 iPad 使用的苹果 M 系列芯片中发现了一个关键漏洞,攻击者有可能利用该漏洞获取 Crypto 安全密钥和代码。

这个问题可以归结为一种叫做「预取」的技术,苹果公司自己的 M 系列芯片可以利用这种技术加快用户与设备的交互

通过「预取」技术,设备可以监控用户最常见的活动,并将数据保存在用户的设备上,从而加快交互速度。但这种技术现在显然可以被利用了。

研究人员说,他们能够创建一个应用程序,成功「诱骗」处理器将一些预取数据放入缓存,然后该应用程序就可以访问这些数据并用来重建 Crypto 密钥。这是一个潜在的大问题。

如果用户使用的 Mac 或 iPad 配备了苹果 M 系列处理器(包括 M1、M2 或 M3),那么设备就有可能受到该漏洞的影响。

M1 处理器于 2020 年底在 MacBook Air、MacBook Pro 和 Mac Mini 上推出,后来扩展到 Mac 台式机甚至 iPad 平板电脑。

M2 处理器和当前的 M3 处理器在电脑和平板电脑中也容易受到影响,M2 芯片甚至用于苹果 Vision Pro 耳机。

但根据 Ars Technica 的报道,在 M3 芯片中,受漏洞影响的数据内存预取器增加了一个「特殊位」,开发人员可以调用该「特殊位」来禁用数据保存功能,尽管因此会对性能造成一定程度的影响。

如果用户配备的是英特尔处理器的老款 Mac,那么就不会受到影响。在苹果开发自己的芯片之前,多年来一直使用英特尔处理器。

同样,如果用户的 iPad(无论新旧)使用的是苹果公司的 A 系列芯片(iPhone 也采用该芯片),那么似乎也不会有风险。只有 M1、M2 和 M3 芯片因其设计方式而存在漏洞。

苹果最近推出的 iPhone 和 iPad 中的 A14、A15 和 A16 l 芯片确实是 M 系列芯片的变体,但研究报告和媒体报道并未指出它们存在漏洞。

那么用户可以做什么来解决这个问题?很遗憾,什么也做不了。

因为这是一个芯片级漏洞,与苹果芯片的独特架构有关。这意味着苹果无法用补丁修复它。应用程序开发人员可以做的是实施修复程序来避免该漏洞,但这样做显然要权衡性能,因此一旦更新,此类应用程序可能会感觉更加迟缓。

当然,要消除风险,用户也可以将自己的 Crypto 钱包从易受攻击的苹果设备上移除。将它们迁移到其他设备上,例如 Windows PC、iPhone、安卓手机等。

Errata Security 首席执行官 Robert Graham 也对此表示:「把你的 Crypto 资产钱包从设备上拿下来,至少现在是这样。我猜想,现在有人希望实施这种攻击,并且正在努力。」

虽然装有 M1-M3 芯片的设备确实存在漏洞,但黑客并不是随便打开一个开关就能拿走你的资金。一般来说,用户需要在设备上安装恶意软件,然后攻击者需要使用被利用的软件提取私钥并访问相关钱包。

苹果公司的 macOS 对恶意软件的抵御能力也相当强,因为你必须手动允许在设备上安装此类应用程序

Mac 默认阻止未签名的第三方软件。不过,如果你喜欢冒险并安装了来自「身份不明」开发者的应用程序,那么在使用可能存在漏洞的 M 芯片设备时,还是要注意安全。

根据《Zero Day》的报道,这种攻击也可以在持有用户密钥的共享云服务器上进行,因此这也是另一种潜在的攻击媒介。

另外,也有可能通过 Javascript 代码在网站上实施这种攻击,这对普通用户的影响要有效得多,因为不需要安装任何软件。当然,这只是理论上可能会发生的情况。

根据 Zero Day 报道,该漏洞还有可能被用来解密网络浏览器 cookie 的内容,从而可能让攻击者获得电子邮件账户等的访问权限,登录用户的敏感账户

根据目前有关该漏洞的报道,Ledger 和 Trezor 等公司的硬件钱包显然不会受到威胁,因为私钥需要安装在带有 M1-M3 芯片的苹果设备上才会受到影响。

尽管如此,为了以防万一,避免将硬件钱包连接到易受攻击的设备也是一个好的对策。

Coinbase 等中心化交易所将用户的资金存放在托管钱包中,由于用户的设备上没有私钥,所以不会直接面临风险。

但是,如果用户将 Coinbase 账户密码保存在易受攻击的苹果设备上的 Crypto 安全密码管理器中,那么可能需要更改密码,而不是在管理器中更新密码。

如前所述,理论上攻击者可以利用这个漏洞从浏览 cookie 中解密账户密码

毫无疑问,这是一个严重的漏洞,但影响普通 Crypto 用户的可能性似乎很低。通过该漏洞来破解密码,首先要从缓存中逐渐提取足够的数据来重建密钥,这个过程可能需要大约 1-10 个小时,甚至更久。

这并不意味着不可能,也不意味着不会发生在用户身上,但这并不是一种速战速决式的攻击。

用户仍然应该采取预防措施,确保自己不会面临风险,但如果报告准确,那么这听起来不会对普通用户造成广泛威胁。

欢迎加入深潮TechFlow官方社群

Telegram订阅群:https://t.me/TechFlowDaily
Twitter官方账号:https://x.com/TechFlowPost
Twitter英文账号:https://x.com/BlockFlow_News
作者DecryptDecrypt
相关文章
2025.07.08 - 35 分钟前
加密早报:特朗普关税大限延长至 8 月 1 日,Strategy 宣布 42 亿美元 STRD 优先股发行计划
Airwallex 正在组建稳定币平台团队,拟构建全球代币结算系统。
2025.07.07 - 14 小时前
MSTR 是金融鬼话还是加密革命?大空头查诺斯点燃华尔街辩论战
迄今为止的市场表现似乎站在了 Saylor 一边。
2025.07.07 - 14 小时前
股票代币化的两种范式:xStocks 的开放与 Robinhood 的围墙
这些平台如何在严苛的金融监管、复杂的技术实现和巨大的市场机遇之间取得平衡?
2025.07.07 - 14 小时前
解读:马斯克成立「美国党」,特朗普锐评「荒谬至极」
美国第三党是扶不起的阿斗?
2025.07.07 - 16 小时前
加密 KOL 不会告诉你的真相:新项目上线的四大错觉与数据证伪
专注构建产品,合理定价代币避免高估值,真诚沟通以及摈弃虚荣的指标是项目成功 TGE 的关键。
2025.07.07 - 16 小时前
鑫慷嘉之后,再无「狂野西部」:百亿骗局如何重塑加密监管格局?
近期,加密交易所 OKX 因风控升级引发用户担忧,其严格措施源于应对外部风险,包括中国三四线城市爆发的「DGCX 鑫慷嘉」百亿骗局。
2025.07.07 - 18 小时前
马斯克:贝森特是索罗斯的傀儡,他甚至不会数学
贝森特认为马斯克的企业董事会并不那么热衷于特斯拉首席执行官公布他的新“美国党”。
2025.07.07 - 18 小时前
Bitcoin Magazine:比特币储备公司热是一场泡沫,最好卖掉 Strategy 股票
比特币已经不再是这家公司,也不再是那些不断涌现的比特币金库公司的主要战略;你才是。
2025.07.07 - 18 小时前
AI 在抢谁的工作?400 万份聊天记录揭晓了答案
别怕 AI 来抢饭碗,要学会怎么与它相处。
AI
2025.07.07 - 23 小时前
绑架勒索、绝命凶杀、连环案中案,五则币圈案件实录
币圈不太平,2025 年已至少发生了 34 起绑架案件。