Две новые уязвимости чипов Apple грозят похищением данных: что нужно знать о SLAP и FLOP

Новые уязвимости позволяют злоумышленникам проникать в личные данные через браузер

2 мин.
Две новые уязвимости чипов Apple грозят похищением данных: что нужно знать о SLAP и FLOP

Исследователи из Технологического института Джорджии (Georgia Tech) обнаружили две серьёзные уязвимости, получившие названия SLAP и FLOP. Они связаны с механизмами спекулятивного исполнения в современных чипах Apple серий M и A. Фактически, атака не требует физического доступа к устройству, а выполняется за счёт вредоносной веб-страницы, способной обходить встроенные защитные механизмы браузера.

Какие устройства под угрозой?

Под ударом оказываются модели Mac, iPad и iPhone с установленными чипами M2 и A15 (и более поздними). Перечень включает:

  • MacBook 2022 года и новее,
  • Настольные Mac 2023 года и более поздние,
  • iPad начиная с 2021 года,
  • iPhone начиная с 2021 года.

Таким образом, значительная часть актуальных устройств Apple уязвима к эксплойтам SLAP и FLOP.

Суть уязвимостей

SLAP и FLOP используют особенности спекулятивного исполнения, давая возможность атакующему сканировать данные в других вкладках браузера. Результат — потенциальный доступ к личным данным пользователей: истории посещений веб-сайтов, номерам карт, учётным записям электронной почты, геолокации и т. д.

При этом:

  • SLAP в первую очередь затрагивает Safari.
  • FLOP может повлиять как на Safari, так и на Chrome.

Исследователи считают, что и другие браузеры, например Firefox, тоже могут подвергаться подобной атаке, однако прямых тестов ещё не проводилось.

Ответ Apple: что известно о патчах

Компания Apple была проинформирована об этих уязвимостях в мае и в сентябре 2024 года. Пока обновления безопасности не выпущены, однако заявлено, что уязвимости будут закрыты «в грядущем обновлении». По словам представителей компании, в настоящий момент нет свидетельств широкого применения SLAP и FLOP, а риск рассматривается как «не критичный».

Тем не менее, учитывая природу атак, компании приходится принимать меры в отношении множества своих современных устройств, что может потребовать существенных корректировок механизма спекулятивного исполнения или же внедрения дополнительных прослоек защиты.

Советы пользователям

До выхода официальных исправлений безопасности Apple, пользователям рекомендуется:

  1. Обновлять iOS и macOS сразу после релиза патчей — компания обещала устранить уязвимости в ближайших обновлениях.
  2. Бдительно относиться к незнакомым сайтам — не переходить по подозрительным ссылкам, так как атака может выполняться через обычный браузер.
  3. Использовать последние версии браузеров — чтобы не пропустить уже возможные частичные исправления или дополнительные механизмы зашиты.

Перспективы

Учитывая масштаб затрагиваемых устройств и тот факт, что уязвимости SLAP и FLOP позволяют удалённо похищать данные, Apple наверняка ускорит выпуск патчей. Исследователи из Georgia Tech говорят, что сейчас реальных подтверждённых случаев «в дикой природе» не замечено, однако это не означает, что злоумышленники не могут подготовить эксплойты в ближайшее время.


Ещё по теме:

Мы в Telegram, на Дзен, в Google News и YouTube