
Les chercheurs en sécurité ont découvert deux défauts présents dans tous les iPhones, iPads et Mac actuels – ainsi que de nombreux antérieurs. Les vulnérabilités, connues sous le nom de slap et flop, pourraient potentiellement permettre à un attaquant de voir le contenu actuel de vos onglets Web ouverts.
Les défauts ont été introduits dans les puces A15 et M2, et se trouvent également dans les suivantes, jusqu’à et y compris la dernière version de chaque appareil…
Table des matières
Que sont les gifles et le flop?
Slap (Attaques de spéculation via la prédiction d’adresse de charge) et le flop (fausses prévisions de sortie de charge) étaient découvert par des chercheurs en sécurité au Georgia Institute of Technology. Ils fonctionnent de la même manière que Spectre et Meltdown.
Toutes ces vulnérabilités proviennent d’une approche utilisée par Apple et d’autres concepteurs de puces pour accélérer les délais de traitement. Connu sous le nom d’exécution spéculative, l’idée est que la puce essaie d’anticiper les commandes futures probables et de charger de manière préventive les données nécessaires pour les exécuter.
Si un attaquant peut injecter des données mal formées dans ces processus, il peut lire le contenu de mémoire qui ne devrait pas être accessible.
Quelles sont les vulnérabilités?
Dans Safari, chaque onglet doit être sableux. Autrement dit, un site Web ouvert dans un onglet ne peut pas accéder aux données d’un autre site Web ouvert dans un autre onglet.
Avec Slap, si un attaquant peut vous tromper pour visiter un site Web compromis, il peut ensuite accéder aux données à partir de tout autre onglet Safari que vous avez ouvert. Par exemple, il pourrait lire vos e-mails, voir votre emplacement dans Apple Maps, voir vos coordonnées bancaires, etc.
Flop peut faire la même chose, mais est plus puissant, travaillant avec Chrome et Safari.
Aucun logiciel malveillant n’est requis sur votre Mac – les attaques sont effectuées en utilisant des défauts dans le code d’Apple, et il y a très peu de chances de détecter qu’une attaque soit en cours.
Quels appareils sont vulnérables?
Tout appareil Apple avec un A15 ou version ultérieure, ainsi que ceux avec un M2 ou version ultérieure. Les chercheurs ont confirmé que les appareils suivants sont vulnérables:
iPhone:
- iPhone 13
- iPhone 14
- iPhone 15
- iPhone 16
- IPhone de 3e génération
iPad:
- Modèles d’iPad Air à partir de 2021
- Modèles iPad Pro à partir de 2021
- iPad mini modèles à partir de 2021
Mac:
- Modèles MacBook Air à partir de 2022
- Modèles MacBook Pro à partir de 2022
- MAC MINI MINI MODÈLES À LA 2023
- Modèles Mac Studio à partir de 2023
- modèles iMac à partir de 2023
- Mac Pro (2023)
Quel est le risque réel?
Les chercheurs disent qu’il n’y a aucune preuve que l’une ou l’autre vulnérabilité ait encore été exploitée dans la nature.
Apple travaille depuis un certain temps à réparer les deux défauts depuis que la société a été informée pour la première fois – en mai 2024 pour Slap, et en septembre 2024 pour Flop.
La société a publié une brève déclaration à Computer Bleeping:
Sur la base de notre analyse, nous ne pensons pas que ce problème présente un risque immédiat pour nos utilisateurs.
Il n’y a actuellement aucune précaution que vous ne pouvez pas prendre au-delà de l’habitude de faire des soins dans les sites Web que vous visitez.
Image: collage 9to5mac en utilisant la photo de Pomme