Applen piireistä löytyi kaksi haavoittuvuutta – näin ne vaikuttavat

Valtaosa Applen laitteista on alttiina selaimen vakoilulle. Tutkijat havaitsivat kaksi laajalti vaikuttavaa haavoittuvuutta.

Applen suunnittelemista piireistä on löytynyt kaksi haavoittuvuutta, SLAP ja FLOP (Speculation Attacks via Load Address Prediction ja False Load Output Predictions), jotka jättävät miljoonat iPhonet, iPadit ja Macit alttiiksi verkkosivustojen vakoilulle. Uhrinsa ansaan houkutteleva hakkeri saattaa pahimmillaan päästä käsiksi jopa pankkitietoihin, aiheesta kirjoittava 9to5Mac kuvailee.

Tietoturva-aukot ovat läsnä Applen A15- ja M2-piireissä sekä kaikissa niiden jälkeen julkaistuissa piireissä. Haavoittuvuudet ovat muutoin samankaltaisia, mutta SLAP altistaa vain Applen Safari-selaimen, FLOP sekä Safarin että Google Chromen.

SLAP ja FLOP perustuvat molemmat Applen piireille tyypilliseen teknologiaan, joka pyrkii ennakoimaan tulevia komentoja jo ennen niiden antamista ja nopeuttamaan näin niiden toteuttamista. Pahimmassa tapauksessa hakkeri saattaisi näin saada pääsyn tietoihin, joiden pitäisi olla salattuja.

Käytännössä haavoittuvuudet mahdollistavat selaimella avatulla välilehdellä tapahtuvan toiminnan tarkastelun toiselta välilehdeltä käsin. Mikäli siis käyttäjä erehtyy avaamaan vakoilumielessä luodun sivun tutkiskeltuaan juuri vaikkapa tilejään toisella välilehdellä, saattavat tiedot päätyä vääriin käsiin.

Hankalan tilanteesta tekee se, ettei iskun toteuttaminen edellytä ensinkään haittaohjelmia. SLAP ja FLOP perustuvat Applen omassa koodissa oleviin porsaanreikiin, joten myös niiden havaitseminen voisi olla vaikeaa, haavoittuvuudet paikantaneet Georgian Institute of Technologyn tutkijat kuvailevat.

Bleeping Computerin mukaan Apple on pyrkinyt paikkaamaan haavoittuvuuksia aina niiden paljastumisesta lähtien. SLAPista yhtiö sai tiedon toukokuussa 2024, FLOPista taas syyskuussa 2024, mutta vaikka korjausta ei toistaiseksi ole saatavilla, ei haavoittuvuuksien hyödyntämisestä iskuissa ole havaittu viitteitä.

Toistaiseksi ainut toimiva menetelmä suojata laitteensa sekä tietonsa SLAPilta ja FLOPilta on pysyä poissa epäilyttäviltä verkkosivuilta.

Apple itse ei kuitenkaan pidä ongelmaa kovin vakavana. ”Analyysimme perusteella emme usko tämän ongelman aiheuttavan välitöntä riskiä käyttäjillemme”, kommentoi yhtiö Bleeping Computerille.

Haavoittuvuuksiin perehtyneiden tutkijoiden mukaan SLAP ja FLOP jättävät alttiiksi seuraavat iPhonet, iPadit ja Macit:

• iPhone 13
• iPhone 14
• iPhone 15
• iPhone 16
• 3. sukupolven iPhone SE
• iPad Air (2021 ja uudempi)
• iPad Pro (2021 ja uudempi)
• iPad mini (2021 ja uudempi)
• MacBook Air (2022 ja uudempi)
• MacBook Pro (2022 ja uudempi)
• Mac mini (2023 ja uudempi)
• Mac Studio (2023 ja uudempi)
• iMac (2023 ja uudempi)
• Mac Pro (2023)

Mainos: Noin 1 600 000 tuotteen hintavertailu ja hintaseuranta - katso Hinta.fistä mistä saat halvimmalla