Nieuwe beveiligingslekken bedreigen Apple chips: wat je moet weten
Technische universiteiten in de VS en Duitsland ontdekken "SLAP" en "FLOP". Deze twee beveiligingslekken bedreigen alle Apple chips vanaf M2 en sommige A processors. Apple reageert aarzelend.
"SLAP" en "FLOP" zijn de namen van de twee beveiligingslekken die momenteel de beveiliging van verschillende Apple apparaten bedreigen. Dit werd aan het begin van de week bekendgemaakt. Alle apparaten met een M2-chip of nieuwer zouden mogelijk getroffen kunnen worden. Deze twee kwetsbaarheden kunnen echter ook worden misbruikt in mobiele processors A15 en nieuwer.
Wat doen "SLAP" en "FLOP" precies?
"SLAP" staat voor "Speculation Attacks via Load Address Prediction" en heeft betrekking op de zogenaamde "Load Address Predictor".
Deze "Load Address Predictor" is verantwoordelijk voor het voorspellen welk geheugenadres de processor als volgende nodig heeft. De "SLAP"-kwetsbaarheid zorgt ervoor dat deze valse voorspellingen doet. Dit betekent dat kwaadaardige code die via "SLAP" wordt geïntroduceerd toegang kan krijgen tot geheugengebieden waar het niets te zoeken heeft. Hierdoor kunnen aanvallers in theorie toegang krijgen tot gegevens op je apparaten.
De "FLOP" staat voor "False Load Output Predictions" en heeft betrekking op de "Load Value Predictor". Deze probeert te voorspellen welke waarden terugkomen uit het geheugen waarin de processor gegevens heeft opgeslagen. Moderne chips doen dit zodat bewerkingen sneller en efficiënter worden uitgevoerd. Als de "FLOP" echter in het spel komt, kan deze onjuiste waarden aan de "Load Value Predictor" leveren en zo beveiligingsmechanismen omzeilen.
Theoretisch is dus een end-to-end aanval op Safari mogelijk. Of bijvoorbeeld via e-mailcontent die via HTTP van externe servers wordt geladen.
Als je geïnteresseerd bent in de technische details - zoals waar toegang kan plaatsvinden - kun je die in het verslag van de ontdekkers hier vinden.
Apple lijkt ontspannen
Apple categoriseert de twee kwetsbaarheden als "geen direct risico voor gebruikers". Hoewel het bedrijf in september 2024 door de Ruhr Universiteit Bochum en een universiteit in de Amerikaanse staat Georgia op de problemen werd gewezen, hebben ze de kwetsbaarheden nog niet gepatcht. Op dit moment is hier blijkbaar nog niet actief misbruik van gemaakt - maar dit zou theoretisch elk moment kunnen gebeuren.
Bron: Florian Bodoky
Totdat de patch er is, kun je bijvoorbeeld de JavaScript-functie in Safari uitschakelen (Safari>Voorkeuren>Beveiliging>JavaScript uitschakelen). Dit is echter alleen de moeite waard voor ervaren gebruikers, want: Het helpt tegen de aanvallen, maar zal bij veel websites soms voor problemen zorgen. Het is daarom de moeite waard om regelmatig te controleren of Apple updates beschikbaar heeft.
149 mensen vinden dit artikel leuk
Sinds ik ontdekt heb hoe ik beide telefoonkanalen op de ISDN kaart kan activeren voor meer bandbreedte, ben ik aan het knutselen met digitale netwerken. Ik knutsel al met analoge netwerken sinds ik kan praten. Winterthur door keuze met een rood-blauw hart. En koffie - voor, na, tussendoor en tijdens.