Em todos os dispositivos de maçã relevantes e antigos, as vulnerabilidades perigosas do Slap and Flop encontraram vulnerabilidades perigosas

Os especialistas americanos no campo da segurança cibernética descobriram duas vulnerabilidades presentes em todos os dispositivos relevantes do iPhone, iPad e Mac, bem como em muitos modelos de gerações anteriores. A vulnerabilidade foi atribuída os nomes de Slap e Flop – esses erros permitem que atacantes hipotéticos visualizem o conteúdo de todas as guias nos navegadores em dispositivos.

Fonte da imagem: apple.com

As vulnerabilidades do SLAP (ataques de especulação por previsão de endereço de carga) e FLOP (previsões de saída de carga falsa) apareceram nos processadores Apple A15 e M2, bem como nos chips posteriores. Os erros foram revelados por pesquisadores do Instituto Tecnológico da Geórgia (EUA). Essas vulnerabilidades são semelhantes ao espectro e colapso descobertos anteriormente. Eles estão associados à tecnologia de execução especulativa – o processador está tentando prever comandos futuros e enviar os dados necessários para sua implementação com antecedência. Tendo introduzido dados incorretos nesse processo, um invasor hipotético tem a oportunidade de ler o conteúdo da memória que não deve estar disponível.

Cada guia do navegador Safari é isolada – um site aberto em uma guia não pode obter dados do que está aberto para o próximo. A vulnerabilidade do SLAP, que pode ser operada forçando a vítima a visitar o site malicioso, abre o acesso ao proprietário a qualquer outra guia Safari. Isso pode ser eil, localização em mapas da Apple, detalhes bancários e quaisquer outras informações confidenciais. O Flop permite que você alcance o mesmo resultado, mas é um erro mais perigoso, pois funciona não apenas com o Safari, mas também com o Chrome. Não é necessário instalar software malicioso em um computador – o ataque é realizado usando vulnerabilidades em seu próprio código da Apple e a probabilidade de sua detecção é extremamente pequena.

A ameaça é relevante para o Apple iPhone 13, 14, 15, 16 e SE da 3ª geração; iPad Air, Pro e Mini, começando com modelos de 2021; MacBook Air and Pro, começando com modelos de 2022; Mac Mini, Studio, Pro e IMAC, começando com modelos 2023. A Apple recebeu uma notificação de vulnerabilidade em maio e fracasso em setembro de 2024. Atualmente, a empresa está trabalhando na correção de erros. A confirmação de que a vulnerabilidade foi operada pelos atacantes na prática não pôde ser encontrada.

«Com base em nossa análise, não acreditamos que esse problema represente uma ameaça direta aos nossos usuários. Atualmente, não há precauções que possam ser tomadas, com exceção dos cuidados comuns ao visitar sites ”, disse Bleeping Computer na Apple.