Вразливість Zero-Click на iPhone відкриває доступ до криптовалютних активів для просунутих зловмисників – ось що потрібно знати

У середині серпня 2025 року Apple випустила термінові оновлення безпеки, що усувають критичну вразливість, яку активно використовували досвідчені загрозливі актори проти цільових осіб. Недолік, позначений CVE-2025-43300, впливає на iPhone, iPad та системи Mac по всьому світу, з особливими наслідками для користувачів криптовалют, які зберігають цифрові активи на своїх пристроях. Це сьоме знаряджене вразливе нульового дня, яке Apple виправила з початку 2025 року, що свідчить про зростаючу загрозу для безпеки мобільних пристроїв.

Механізм атаки: експлуатація без кліка

Вразливість існує у системі обробки зображень Image I/O від Apple — фреймворку, відповідального за відображення зображень на всіх пристроях Apple. Зловмисники використовують вихід за межі буфера при записі у цьому фреймворку, що дозволяє несанкціоноване маніпулювання пам’яттю. Атака не вимагає жодних дій користувача: один зловмисний знімок, переданий через iMessage або електронну пошту, запускає автоматичну обробку, що миттєво компрометує пристрій.

За словами фахівців з кібербезпеки, безшовний механізм доставки робить цю атаку особливо небезпечною. «Одержувачі залишаються повністю неусвідомленими того, що їх цілеспрямовано атакували», пояснюють дослідники безпеки, аналізуючи інцидент. Після компрометації пристрою зловмисники отримують повний доступ до збережених облікових даних, приватних ключів і токенів автентифікації обміну. Для користувачів криптовалют це означає потенційне розкриття конфігурацій мультипідписних гаманців, фраз відновлення, захоплених через скріншоти, та моніторинг транзакцій у реальному часі.

Чому криптовалютні активи піддаються особливо високому ризику

У першій половині 2025 року сектор криптовалют зазнав значної кризи безпеки: загрозливі актори та шахрайські оператори вивели понад 2,2 мільярда доларів з облікових записів користувачів — сумний нагадування про те, що крадіжка цифрових активів має незворотні наслідки. На відміну від традиційних фінансових установ, де шахрайські транзакції можна скасувати і кошти відновити, транзакції у блокчейні є постійними та невідновлюваними після підтвердження в мережі.

Криптовалютні активи є особливо привабливими цілями для досвідчених загрозливих акторів: користувачі зазвичай зберігають значні баланси у мобільних гаманцях і додатках обміну, економічний стимул виправдовує застосування складних технік експлуатації, а децентралізовані активи позбавлені механізмів відновлення облікових записів, доступних у традиційних банківських системах.

Постраждалі пристрої та графік виправлень

Вразливість впливає на значну базу встановлених пристроїв:

• iPhone з моделі XS і новіше (2018 випуску)
• iPad Pro, iPad Air та стандартні моделі iPad з останніх поколінь
• комп’ютери Mac з macOS Sequoia, Sonoma або Ventura

Apple поширила виправлення через iOS 18.6.2, iPadOS 18.6.2 та відповідні релізи macOS. Агентство з кібербезпеки та інфраструктурної безпеки США (CISA) наказало розгортати оновлення у всіх федеральних агентствах до 11 вересня 2025 року, що підкреслює серйозність загрози відповідно до урядових оцінок безпеки.

Негайні заходи безпеки для користувачів криптовалют

Практики безпеки рекомендують пріоритетний підхід:

Термінове: застосовуйте оновлення негайно, а не чекайте автоматичної установки. Перейдіть у Налаштування > Загальні > Оновлення програмного забезпечення на iOS або Системні налаштування на macOS і вручну ініціюйте встановлення.

Перевірка та оцінка: слідкуйте за поведінкою пристрою на предмет ознак компрометації, таких як зниження продуктивності, несподівані мережеві з’єднання або розбіжності у балансах гаманців порівняно з локальними записами транзакцій. Повна оцінка може бути складною для нетехнічних користувачів; поведінкові аномалії вимагають додаткового розслідування.

Переміщення активів: користувачам, які підозрюють компрометацію пристрою, слід переказати криптовалюту на новостворені гаманці з використанням окремого, не ураженого обладнання. Це вимагає створення нових ключів на ізольованому пристрої, що не підключений до потенційно уражених систем.

Зміцнення облікових записів: скидайте паролі для електронної пошти та хмарних сервісів, що є каналами відновлення для скидання паролів обмінів і спроб захоплення облікових записів. Увімкніть апаратні ключі безпеки там, де їх підтримують провайдери послуг.

Пристрої, що не підтримують актуальні версії ОС, залишаються уразливими і мають бути виведені з експлуатації для зберігання криптовалют.

Історичний контекст: повторювані вразливості ImageIO

Ця ситуація нагадує схему експлуатації 2023 року. Група NSO використала вразливість у фреймворку ImageIO у кампанії під назвою BLASTPASS, доставляючи шпигувальне програмне забезпечення Pegasus через зловмисні зображення у iMessage. Ця атака також не вимагала дій користувача, цілеспрямовано на високопоставлених осіб із ресурсами держави. Повторне використання однієї й тієї ж системної компоненти свідчить про постійні архітектурні слабкості у моделі безпеки обробки зображень Apple.

Еволюція загроз

CVE-2025-43300 демонструє, що навіть обережні користувачі, які дотримуються найкращих практик безпеки, можуть бути вразливими до експлуатації нульового дня, що не вимагає соціальної інженерії або помилок користувача. Інцидент підкреслює необхідність багаторівневої стратегії захисту активів: регулярні оновлення пристроїв, використання апаратних гаманців для великих сум, географічне розподілення коштів через різні методи зберігання та усвідомлення, що жоден один пристрій або платформа не гарантує повної безпеки.

У майбутньому користувачам криптовалют слід очікувати подальших відкриттів і експлуатацій подібних вразливостей нульового дня, одночасно підвищуючи пильність щодо циклів оновлення пристроїв і диверсифікації архітектур зберігання.