Onderzoekers hebben twee sidechannel-aanvallen tegen Apple-chips gedemonstreerd waarmee het mogelijk is om gevoelige data van gebruikers te stelen. Apple stelt dat er geen direct risico voor gebruikers is en het is onduidelijk of het techbedrijf met updates komt. De twee aanvallen werden vorig jaar mei en september door onderzoekers van Georgia Institute of Technology en Ruhr University Bochum aan Apple gerapporteerd.

De twee aanvallen worden door de onderzoekers SLAP en FLOP genoemd. SLAP staat voor Speculation Attacks via Load Address Prediction en maakt gebruik van de Load Address Predictor (LAP) waar Apple-chips vanaf de M2/A15 van zijn voorzien. LAP moet de prestaties verbeteren door het volgende geheugenadres te voorspellen waar de processor 'load instructions' zal ophalen, gebaseerd op eerdere geheugentoegangspatronen.

Via de SLAP-aanval wordt LAP gedwongen om het verkeerde geheugenadres te voorspellen. Zo kan er data van andere processen worden gestolen. Wanneer een doelwit in de ene tab bijvoorbeeld is ingelogd op Gmail en in een andere tab een malafide website heeft geopend, hoort de malafide website normaliter geen code van de ingelogde Gmail-pagina te kunnen lezen. Via de SLAP-aanval is het wel mogelijk om gevoelige content te lezen. De aanval raakt alleen Safari op kwetsbare chips.

De FLOP-aanval, wat staat voor False Load Output Predictions, maakt misbruik van de Load Value Predictor (LVP) die aanwezig is in Apples M3/A17 en nieuwere processors. Deze 'optimalisering' voorspelt de inhoud van geheugen dat de processor laadt voordat de inhoud daadwerkelijk beschikbaar is. Via de FLOP-aanval is het mogelijk om de inhoud van geheugen te lezen dat normaal niet toegankelijk zou zijn. Op deze manier is het mogelijk de inhoud van mailboxes te stelen, de locatiegeschiedenis van Google Maps, informatie van iCloud Calendar en creditcardinformatie. Deze aanval raakt zowel Safari als Google Chrome op kwetsbare Apple-chips.

Voor een succesvolle FLOP-aanval is het wel vereist dat een doelwit vijf tot tien minuten op bijvoorbeeld Gmail of iCloud is ingelogd en in een andere tab de website van de aanvaller open heeft staan. De onderzoekers zeggen dat Apple hen heeft aangegeven met een beveiligingsupdate te komen, maar in een reactie tegenover Ars Technica wil het techbedrijf niet zeggen of er dergelijke plannen zijn. Het uitschakelen van JavaScript zou tegen de aanvallen bescherming bieden.

Volgens de onderzoekers zijn de volgende modellen kwetsbaar:

• Alle Mac laptops van 2022 tot heden (MacBook Air en MacBook Pro)
• Alle Mac desktops vanaf 2023 tot heden (Mac Mini, iMac, Mac Studio en Mac Pro)
• Alle iPad Pro, Air en Mini modellen van september 2021 tot heden (Pro 6e en 7e gen., Air 6e gen en mini 6e gen.)
• Alle iPhones vanaf september 2021 tot heden (Alle 13, 14, 15 en 16 modellen, SE 3e gen.)