Recenti studi di sicurezza condotti da ricercatori delle università di Georgia e Ruhr hanno individuato due nuovi attacchi denominati SLAP e FLOP che sfruttano vulnerabilità nei processori progettati da Apple. Questi attacchi possono esporre dati sensibili come contenuti email e cronologie di navigazione, utilizzando browser web come Chrome e Safari.

SLAP e FLOP si basano su tecniche di speculazione simili a Spectre. In pratica, la CPU specula sui percorsi di esecuzione per ottimizzare le prestazioni, ma queste azioni speculative possono lasciare tracce nei buffer o nella cache. Tali effetti collaterali possono essere utilizzati da codice malevolo per recuperare informazioni sensibili.

SLAP (Speculative Load Address Prediction) colpisce i processori Apple con il Load Address Predictor (LAP), che tenta di prevedere gli indirizzi di memoria per velocizzare l’esecuzione. I ricercatori hanno scoperto che, manipolando il LAP, è possibile accedere speculativamente a dati non autorizzati. Un esempio pratico è un sito web malevolo che, tramite una scheda del browser, può accedere ai dati di un’altra scheda, come email o contenuti di Gmail.

Il problema diventa più grave con Safari, che manca di Site Isolation (presente in Chrome). Questo permette a più pagine di condividere la stessa memoria interna, facilitando l’estrazione di dati da parte di SLAP.

FLOP (Faulty Load Value Prediction) prende invece di mira il Load Value Prediction (LVP), introdotto nei processori più recenti come M3 e A17 per predire i valori di memoria e velocizzare i caricamenti. Manipolando l’LVP, un attacco FLOP può forzare la CPU a leggere valori errati da memorie non autorizzate. Tramite questo attacco, i ricercatori sono riusciti a ottenere cronologie di Google Maps, contenuti di inbox ProtonMail e dati di iCloud Calendar 

SLAP FLOP

Tra i dispositivi Apple colpiti troviamo:

  • MacBook Air e Pro dal 2022 in poi
  • Desktop Mac dal 2023 in poi (Mac Mini, iMac, Mac Studio, Mac Pro)
  • iPad Pro, Air e Mini dal 2021 in poi
  • iPhone 13, 14, 15 e 16, oltre a SE (3ª generazione)

Al momento i ricercatori hanno suggerito tre diverse soluzioni:

  • Attivazione del DIT (Data Independent Timing): questa impostazione, disponibile nei processori Armv8.4-A e successivi, disabilita l’LVP per singoli processi senza richiedere privilegi elevati
  • Implementazione di Site Isolation: già in lavorazione per WebKit, il motore alla base di Safari, potrebbe ridurre i rischi
  • Limitazioni sulle esecuzioni speculative: sono importanti, ma riducono significativamente le prestazioni

Apple ha minimizzato il rischio per gli utenti finali, ringraziando i ricercatori per il loro contributo e promettendo miglioramenti. Tuttavia, resta una preoccupazione per la mancanza di mitigazioni a lungo termine e per il fatto che queste vulnerabilità potrebbero evolversi in attacchi più sofisticati.