Komoly biztonsági hibák az Apple processzorokban

2025 január 30. 05:00   

Az Apple egyedi szilíciumchipjeiben két súlyos sebezhetőséget fedeztek fel, amelyek veszélyeztethetik a felhasználók személyes adatait. A SLAP (Speculative Load Address Prediction) és a FLOP (False Load Output Predictions) nevű biztonsági rések az Apple A- és M-sorozatú processzoraiban találhatók meg, és lehetőséget adhatnak arra, hogy rosszindulatú támadók érzékeny adatokat, például hitelkártya-információkat, helyelőzményeket vagy privát e-maileket szerezzenek meg.

Mi az a SLAP és FLOP?

A két sebezhetőség a processzorok működéséhez kapcsolódik, amelyeket az Apple a teljesítmény növelése érdekében fejlesztett ki.

Speculative Load Address Prediction (SLAP)

Az M2 és A15 chipekkel kezdődően a CPU egy Load Address Predictor (LAP) mechanizmust használ a következő memória-hozzáférés megjóslására. Ha ez a predikció téves, a processzor spekulatív módon végrehajthat kódot olyan adatokon, amelyekhez normál esetben nem férhetne hozzá. Ezzel a támadók akár e-mail tartalmakat vagy böngészési előzményeket is megszerezhetnek.

False Load Output Predictions (FLOP)

Az újabb M3 és A17 processzorokat esetében egy Load Value Predictor (LVP) próbálja előre jelezni a memóriából visszakapott adatokat. Ha az előrejelzés hibás, a CPU spekulatívan feldolgozhat olyan információkat, amelyekkel egyébként nem rendelkezne, megkerülve ezzel a memóriabiztonsági ellenőrzéseket.

A hibák demonstrálásához egy FLOP alapú támadással Safari böngészőn keresztül hozzáfértek egy Proton Mail postafiókhoz. Az Apple M3 chip spekulatív végrehajtásával kinyerték az e-mailek tárgyát és a feladók neveit.

Milyen eszközöket érint a hiba?

A sebezhetőségek széles körű hatással bírnak, mivel az Apple modern eszközeinek nagy részében megtalálhatók ezek a processzorok:

  • 2022 utáni MacBook Air és MacBook Pro modellek
  • 2023 utáni Mac Mini, iMac és Mac Studio számítógépek
  • 2021 szeptemberétől megjelent iPad Pro, Air és Mini modellek
  • Minden iPhone a 13-as verziótól kezdődően

Hogyan védekezzünk?

Ezek a hibák rávilágítanak arra, hogy még a legfejlettebb hardverbiztonsági mechanizmusok sem tökéletesek. A SLAP és a FLOP kihasználásával támadók megkerülhetik a böngészők és operációs rendszerek közötti adatvédelmi korlátozásokat, és hozzáférhetnek olyan információkhoz, amelyeket a felhasználók privátnak gondolnak.

Az Apple elismerte a problémát, és várhatóan hamarosan biztonsági frissítéseket tesz közzé. A felhasználóknak addig is érdemes engedélyezniük az automatikus frissítéseket az eszközeiken. Figyeljenek oda, hogy mindig a legújabb szoftververziók legyenek telepítve. Jobb ha mindenki óvatos az ismeretlen vagy gyanús weboldalakkal kapcsolatban. A frissítésekkel kapcsolatban figyelni kell az Apple biztonsági közleményeit.

Összegzés

A SLAP és FLOP sebezhetőségek komoly kockázatot jelentenek az Apple eszközök biztonságára nézve. Ez az eset ismét rávilágít arra, hogy még a legnagyobb technológiai vállalatok sem védettek a kiberbiztonsági fenyegetésekkel szemben. Az Apple-nek sürgősen ki kell adnia a szükséges javításokat, miközben a felhasználóknak is tudatosnak kell lenniük az online biztonságuk érdekében.    

Osszd meg ezt a cikket
Lehet hogy hamarosan véget is ér az okostelefonok kora?
2025 május 08. Fodor Attila

Lehet hogy hamarosan véget is ér az okostelefonok kora?

 A napokban zajlik a Google trösztellenes pere, amelyen meghalgatták Eddy Cue-t az Apple szolgáltatásokért felelős vezető alelnökét. A tanúvallomás során Cue váratlan és izgalmas kijelentést tett, amelyben azt sugallta, hogy hamarosan az iPhone az iPod sorsára juthat.
Az Apple Anthropic-ra támaszkodva kíván saját „Vibe-Coding” platformot létrehozni
2025 május 05. Fodor Attila

Az Apple Anthropic-ra támaszkodva kíván saját „Vibe-Coding” platformot létrehozni

 Az Apple számos nehézséggel nézett szembe az utóbbi időben saját mesterséges intelligencia megoldásainak kifejlesztése során, ezért talán nem meglepő, hogy a továbbiakban inkább külső AI-szakértelemre támaszkodna a további fejlesztések érdekében. Most úgy döntöttek, hogy az Anthropic-al egyesítik erőiket egy forradalmi „vibe-coding” szoftverplatform létrehozására, amely a generatív mesterséges intelligenciát használja fel a programozók kódjának írására, szerkesztésére és tesztelésére - derül ki a legfrissebb jelentésekből.
Megkezdődött a stablecoin forradalom
2025 április 29. Fodor Attila

Megkezdődött a stablecoin forradalom

 A Stripe megkezdte a fejlett világon kívüli országokban a stablecoin alapú fizetések tesztelését. A kezdeményezést a Bridge stablecoin platform felvásárlása előzte meg, amelyet a Coinbase korábbi vezetői Zach Abrams és Sean Yu alapítottak. A Stripe által alkalmazott stablecoin a dollár értékéhez van rögzítve, és elsősorban olyan vállalkozások számára kívánják megkönnyíteni a kifizetéseket vele, amelyek olyan országokban működnek, ahol a nemzeti valuta árfolyamának erős ingadozása, vagy egyéb infrastrukturális okok miatt a hagyományos valutákban való pénz mozgás rendkívül költséges.
Bajban az Apple a mesterséges intelligencia fejlesztések terén?
2025 április 15. Fodor Attila

Bajban az Apple a mesterséges intelligencia fejlesztések terén?

 Trump vámjainak hatására úgy tűnik egyre több gonddal kell az Apple-nek megküzdenie. Ennek egyik oka, hogy a vámokon túl, amik eléggé megtépázták az Apple részvényeit, belső konfliktusok is vannak, különösen az AI integrációért felelős részlegnél. Tripp Mickle a The New Yourk Times újságírója egyenesen arról ír, hogy az Apple nem képes semmilyen új innovatív dologgal előrukkolni mostanában. Bár ez valószínűleg nincs így, hiszen hosszas huzavona után az Apple Intelligence-t végül sikerült elindítania a cégnek, de az kétségtelen, hogy a mesterséges intelligencia területén vannak lemaradásai a versenytársakhoz képest.