Команда дослідників з провідних технологічних університетів виявила дві серйозні уразливості в процесорах Apple серій A та M. Виявлені вразливості, названі FLOP (False Load Output Prediction) та SLAP (Speculative Load Address Prediction), дозволяють зловмисникам віддалено отримувати доступ до конфіденційних даних користувачів через веб-браузер, що становить значну загрозу для безпеки пристроїв Apple.
Технічний аналіз уразливостей
Обидві атаки експлуатують механізми спекулятивного виконання – ключову технологію оптимізації продуктивності сучасних процесорів. FLOP націлена на функцію прогнозування значень даних у новітніх процесорах M3, M4 та A17, тоді як SLAP використовує вразливість у системі прогнозування адрес пам’яті в моделях M2, A15 та інших. Особливо небезпечним є те, що атаки можуть здійснюватися віддалено через шкідливий JavaScript або WebAssembly код на веб-сторінках.
Масштаб загрози та потенційні наслідки
Дослідження показало, що зловмисники можуть отримати несанкціонований доступ до широкого спектру конфіденційної інформації, включаючи:
- Електронне листування в популярних поштових сервісах
- Історію геолокації та переміщень
- Календарі та особисті події
- Дані про онлайн-покупки
- Історію відвідування веб-сайтів
Механізми обходу захисту
Особливість виявлених уразливостей полягає в тому, що вони успішно обходять стандартні механізми захисту, включаючи ізоляцію процесів у браузері та систему ASLR (Address Space Layout Randomization). FLOP використовує часові атаки на кеш процесора, а SLAP експлуатує помилки в прогнозуванні схем доступу до пам’яті.
Реакція Apple та рекомендації щодо захисту
Apple офіційно підтвердила наявність уразливостей та розпочала роботу над їх усуненням. До випуску відповідних оновлень безпеки єдиним надійним методом захисту залишається відключення JavaScript у браузерах, хоча це суттєво обмежить функціональність більшості сучасних веб-сайтів.
Ситуація з FLOP та SLAP демонструє критичну важливість постійного моніторингу та вдосконалення механізмів безпеки в сучасних процесорах. Користувачам пристроїв Apple наполегливо рекомендується регулярно встановлювати системні оновлення та дотримуватися базових правил кібергігієни при роботі в інтернеті. Експерти з кібербезпеки продовжують досліджувати потенційні вектори атак та розробляти додаткові методи захисту від подібних загроз.
