SLAP and FLOP security vulnerabilities affect all current Apple devices as well as many older models.

Sicherheitsexperten haben zwei Schwachstellen entdeckt, die in allen aktuellen iPhones, iPads und Macs – sowie vielen früheren Geräten – vorhanden sind. Die Schwachstellen, bekannt als SLAP und FLOP, könnten potenziell einem Angreifer ermöglichen, den Inhalt Ihrer offenen Webregisterkarten zu sehen.

Die Schwachstellen wurden im A15 und M2-Chips eingeführt und sind auch in den nachfolgenden Versionen bis zur neuesten Version jedes Geräts zu finden.

Welche sind SLAP und FLOP?

SLAP (Spekulationsangriffe über Ladeadressvorhersage) und FLOP (Falsche Ladeausgabenvorhersage) wurden von Sicherheitsexperten der Georgia Institute of Technology entdeckt. Sie funktionieren in der gleichen Weise wie Spectre und Meltdown.

Alle diese Schwachstellen stammen von einer Methode, die von Apple und anderen Chipdesignern verwendet wird, um die Verarbeitungszeiten zu beschleunigen. Bekannt als spekulative Ausführung, handelt es sich um den Ansatz, dass der Chip voraussieht wahrscheinliche zukünftige Befehle und vorzeitig die Daten lädt, die zum Ausführen dieser Befehle erforderlich sind.

Ein Angreifer kann beschädigte Daten in diese Prozesse einfügen und dann geheime Inhalte des Systems lesen, die nicht zugänglich sein sollten.

Welche Schwachstellen sind es?

In Safari sollte jede Registerkarte sandkastenisiert sein. Das heißt, ein Website, der in einer Registerkarte geöffnet wird, kann Daten von einer anderen Website, die in einer anderen Registerkarte geöffnet ist, nicht zugreifen.

Mit SLAP kann ein Angreifer Sie dazu bringen, auf eine kompromittierte Website zuzugreifen, was dann zu einem Zugriff auf Daten von jedem anderen Safari-Registerkarten, die Sie offen haben, führt. Zum Beispiel könnten sie Ihre E-Mails lesen, Ihre Standortdaten in Apple Maps sehen, Ihre Bankdetails ansehen und so weiter.

FLOP kann dies auch tun, ist aber leistungsfähiger und funktioniert mit Chrome sowie Safari.

Es ist kein Schadsoftware notwendig auf Ihrem Mac – die Angriffe werden mit Schwachstellen in eigenem Apples Code durchgeführt und es besteht nur eine geringe Chance, dass ein Angriff läuft.

Welche Geräte sind betroffen?

Jede Apple-Gerät mit einem A15 oder späteren Chip, sowie solche mit einem M2 oder späteren Chip. Die Forscher konnten bestätigen, dass die folgenden Geräte betroffen sind:

iPhone:

• iPhone 13
• iPhone 14
• iPhone 15
• iPhone 16
• 3. Generation iPhone SE

iPad:

• iOS-Geräte von 2021 und später
• iPad Pro-Modelle ab dem Jahr 2021
• iPad Mini-Modelle ab dem Jahr 2021

Mac:

• Mac mit A15 Chip
• Mac mit M2 Chip

Welchen echten Risikofaktor betrifft dies?

Die Forscher sagen, dass es keine Beweise gibt, dass eine dieser Schwachstellen noch in der Wildwelt genutzt wurde.

Apple hat sich seit der Anmeldung des Problems – im Mai 2024 für SLAP und im September 2024 für FLOP – an die Reparatur beigetragen.

Die Firma veröffentlichte einen kurzen Anweisung für Bleeping Computer:

Basierend auf unserer Analyse glauben wir nicht, dass dieses Problem einen sofortigen Risikofaktor für unsere Benutzer darstellt.

Es gibt zurzeit keine Maßnahme, die du außer der üblichen Vorsicht bei besuchten Websites ergreifen kannst.