Een groep cyberbeveiligingsexperts heeft twee soorten aanvallen geïdentificeerd die gebruikmaken van deze onderdelen. Ze kunnen de diefstal van gegevens uit Gmail, iCloud en vele andere toepassingen vergemakkelijken.
Een team van onderzoekers heeft kwetsbaarheden ontdekt in de processors van Apple die de privacy van gebruikers in gevaar kunnen brengen. Deze zwakke plekken, die aanwezig zijn in de nieuwste generatie A- en M-chips, kunnen aanvallers toegang geven tot persoonlijke gegevens die zijn opgeslagen in Gmail, iCloud en Google Maps zonder dat ze daarvoor expliciete toestemming van de gebruiker nodig hebben.
Zoals uitgelegd op hun website, hebben de experts twee soorten aanvallen geïdentificeerd, FLOP en SLAP genaamd, die speculatieve processoruitvoering misbruiken. Dit mechanisme, dat is ontworpen om de prestaties te optimaliseren, kan worden gemanipuleerd om gevoelige informatie te ontfutselen. Met deze methode konden cybercriminelen e-mails, agenda’s en locaties verkrijgen door toegang te krijgen tot open tabbladen in de browser.
De FLOP-aanval is de gevaarlijkste, omdat hiermee elk geheugenadres binnen het browserproces kan worden gelezen. Het werkt in Safari en Chrome, wat het bereik vergroot en een groot aantal gebruikers in gevaar brengt. SLAP werkt daarentegen alleen in Safari en richt zich op het verkrijgen van informatie die is opgeslagen in andere open tabbladen binnen hetzelfde programma.
Onder de getroffen apparaten bevinden zich alle Macs die sinds 2022 zijn uitgebracht, evenals iPhone- en iPad-modellen die na 2021 zijn uitgebracht. Deze fouten hebben invloed op de nieuwste chips en vormen een bedreiging voor miljoenen Apple gebruikers over de hele wereld.
Reactie van Apple en aanbevelingen van experts
Onderzoekers hebben Apple op de hoogte gesteld van deze kwetsbaarheden. Het bedrijf heeft echter niet bevestigd of het updates zal uitrollen om het probleem te verhelpen. In antwoord op een verzoek om een verklaring van ArsTechnica zei een vertegenwoordiger van het bedrijf dat “op basis van onze analyse geloven we niet dat dit probleem een direct risico vormt voor onze gebruikers”.
Bij gebrek aan een officiële oplossing raden experts aan om geen onbekende sites te openen naast platformen die gevoelige informatie opslaan. Daarnaast is het raadzaam om browsers up-to-date te houden en uit te kijken naar toekomstige beveiligingsupdates die dit soort aanvallen kunnen beperken.
