Os hackers têm uma nova maneira de tentar roubar suas criptomoedas – e se você estiver usando um dispositivo Apple fabricado na última meia década, não há muito que você possa fazer para mitigar o ataque.
Pesquisadores de segurança descobriram uma vulnerabilidade nos chips de computador mais recentes da Apple – suas séries M1, M2 e M3, que alimentam todos os seus dispositivos mais recentes – que poderia permitir que hackers roubassem chaves criptos projetadas para proteger os dados contra divulgação. Isso inclui as chaves para carteiras de criptomoedas de software instaladas em dispositivos Apple vulneráveis.
O provável alvo de uma exploração maliciosa seriam “usuários sofisticados, como alguém que tem uma carteira de criptomoedas com muito dinheiro”, disse Matthew Green, criptógrafo e professor de ciência da computação na Universidade Johns Hopkins, ao autor e jornalista Kim Zetter.
Embora não seja um ataque “prático”, ele poderia ter como objetivo a cripto do navegador da web – o que afetaria aplicativos baseados em navegador, como MetaMask, backups do iCloud ou contas de e-mail.
O possível hack foi apelidado de “exploit GoFetch” em um relatório homônimo divulgado por uma equipe de cientistas da Universidade de Illinois Urbana-Champaign (UIUC), Universidade do Texas, Austin, Georgia Tech, UC Berkeley, Universidade de Washington, e Universidade Carnegie Mellon. Ele funciona obtendo acesso ao cache da CPU do computador por meio de pré-buscadores dependentes de memória de dados (DMPs) integrados aos chips.
“Em um ataque de cache, um invasor infere o segredo de um programa vítima observando os efeitos colaterais dos acessos dependentes de segredo do programa vítima ao cache do processador”, disseram os pesquisadores, acrescentando que o experimento foi validado usando o Apple M1 4 Núcleos Firestorm (desempenho). “Presumimos que o invasor e a vítima não compartilham memória, mas que o invasor pode monitorar quaisquer canais secundários da microarquitetura disponíveis, por exemplo, a latência do cache.”
Esta nova divulgação é diferente da chamada exploração de pré-buscadores “Augury” anunciada em 2022, embora envolva um mecanismo semelhante.
Os pesquisadores disseram que notificaram a Apple sobre suas descobertas em 5 de dezembro de 2023, e que mais de 100 dias se passaram antes do lançamento público do artigo de pesquisa e do site que o acompanha.
Por e-mail, um porta-voz da Apple disse ao Decrypt que a empresa está grata pelos esforços colaborativos dos pesquisadores e destacou o impacto significativo de seu trabalho no avanço da compreensão de ameaças específicas à segurança.
Embora não tenham feito mais comentários, o porta-voz da Apple indicou ao Decrypt uma postagem de desenvolvedor da Apple que mostra como mitigar o ataque. A solução alternativa recomendada poderia diminuir o desempenho do aplicativo, pois significaria assumir velocidades de processamento do “pior cenário” para evitar a invocação do cache. Além disso, as alterações precisariam ser feitas pelos criadores do software MacOS, não pelos usuários.
Apesar da postagem publicada, a resposta da Apple foi insuficiente, diz Zetter.
“A Apple adicionou uma correção para isso em seus chips M3 lançados em [outubro]”, tuitou Zetter, “mas os desenvolvedores não foram informados sobre a correção em [outubro] para que pudessem habilitá-la. A Apple adicionou uma instrução no site do desenvolvedor sobre como habilitar a correção ontem”.
Para usuários de criptomoedas, isso significa que cabe aos fabricantes de carteiras como MetaMask e Phantom implementar um patch para proteção contra a exploração. Não está claro se alguma das empresas já fez esses esforços e os representantes da MetaMask e Phantom não responderam imediatamente ao pedido de comentários da Decrypt.
Por enquanto, se você tiver uma carteira criptografada instalada em um dispositivo Apple vulnerável, tudo o que você pode fazer é remover a carteira do dispositivo para garantir a segurança. (Se você estiver em um dispositivo Apple mais antigo com, digamos, um chip Intel, você está livre).
Os usuários da Apple há muito se consideram protegidos contra ataques de malware devido à forma como os dispositivos MacOS e iOS são projetados. No entanto, num relatório separado de janeiro, a empresa de segurança cibernética Kaspersky soou o alarme sobre “criatividade incomum” na construção de malware visando dispositivos Intel e Apple Silicon.
A Kaspersky disse que o malware da Apple tinha como alvo os usuários da carteira Exodus, tentando fazer com que baixassem uma versão falsa e maliciosa do software.
*Traduzido com autorização do Decrypt.