Недавний анализ безопасности от Группы анализа угроз (TAG) компании Google выявил критическую уязвимость, которая потенциально ставит под серьезный риск более 200 миллионов криптовалютных кошельков на iPhone. Уязвимость заключается не в самой операционной системе iOS от Apple, а связана с базовым компонентом, используемым многими сторонними приложениями-кошельками. Это открытие подчеркивает сохраняющиеся и изощренные угрозы, нацеленные на хранение цифровых активов, даже на таких традиционно безопасных платформах, как iOS. Исследование показывает, как злоумышленники могут использовать эту слабость для извлечения приватных ключей и сид-фраз — криптографических секретов, которые предоставляют абсолютный контроль над цифровыми активами, — что ставит под угрозу фундаментальную безопасность горячих кошельков.
Уязвимость существует в распространенной библиотеке с открытым исходным кодом, которую многие разработчики кошельков интегрировали в свои iOS-приложения для выполнения основных криптографических операций. Согласно выводам Google, эта библиотека содержит flaw в процессах управления памятью. При определенных условиях она может не обеспечить безопасное стирание конфиденциальных данных — таких как приватные ключи, сгенерированные при подписании транзакций, — из памяти устройства после использования. Это создает окно возможностей для сложного вредоносного ПО, уже присутствующего на скомпрометированном устройстве, чтобы собрать эти остаточные данные. Учитывая, что iPhone обычно считаются более безопасными из-за закрытого подхода Apple (walled-garden), это открытие особенно тревожно для криптосообщества, которое часто рекомендует устройства iOS из-за их предполагаемой безопасности.
Масштаб воздействия огромен: по оценкам Google, могут быть затронуты кошельки, в которых хранятся активы на миллиарды долларов. Риск не является теоретическим; исследователи Google TAG продемонстрировали атаку proof-of-concept, в которой вредоносное приложение, использующее другие уязвимости iOS для получения повышенных привилегий, могло успешно извлечь материал приватного ключа из пространства памяти уязвимой библиотеки. Такой тип атаки подчеркивает проблему безопасности цепочки поставок, когда один уязвимый компонент, доверенный и широко используемый разработчиками, может стать единой точкой отказа для миллионов конечных пользователей. Это смещает поверхность атаки с операционной системы на отдельные приложения, которым пользователи доверяют свой финансовый суверенитет.
В ответ на эти выводы Google ответственно раскрыла информацию об уязвимости Apple и сопровождающим затронутой библиотеки с открытым исходным кодом до публичного объявления. В то время как Apple может выпускать системные исправления для своего собственного программного обеспечения, основное бремя устранения ложится на отдельных разработчиков кошельков. Они должны обновить свои приложения, чтобы использовать исправленную версию библиотеки, и выпустить эти обновления для пользователей через App Store. Для пользователей немедленная рекомендация — убедиться, что все приложения криптокошельков немедленно обновлены до последних версий. Кроме того, этот инцидент служит stark напоминанием о присущих горячим кошелькам, подключенным к интернету, рисках. Эксперты по безопасности повторяют золотой стандарт защиты значительных средств: использование аппаратного кошелька (холодное хранение) для основной части активов, при этом хранение минимальных сумм в программных кошельках для ежедневных транзакций.
