In moderni chip Apple “cuore” di Mac, iPhone e iPad sono state individuate due vulnerabilità che potrebbero essere teoricamente essere usate per recuperare informazioni su carte di credito, sulla posizione e altri dati sensibili da browser come Chrome e Safari visitando siti quali iCloud Calendar, Google Maps e Proton Mail.
Le vulnerabilità riguardano le CPU delle prime generazioni di chip Apple serie Ax e Mx, sensibili ad attacchi di tipo “side channel” che sfruttano peculiarità nelle funzioni di raccolta dei dati durante le operazioni crittografiche per decodificare il sistema di crittografia del dispositivo, ovvero analizzare l’algoritmo crittografico dello stesso.
Il sito Ars Technica spiega che tutti e due gli attacchi side channel sono il risultato dello sfruttamento della esecuzione speculativa, una caratteristica delle prestazioni delle moderne CPU, peculiarità che permette di aumentare la velocità agendo su più istruzioni contemporaneamente, anche in ordine diverso rispetto a quello di immissione nella CPU.
Le due vulnerabilità sono state denominate attacchi FLOP (False Load Output Prediction) e SLAP (Speculative execution via Load Address Prediction) e riguardano modalità con le quali i processori cercano di prevedere le attività in memoria per velocizzare i task.
Per migliorare le prestazioni, la CPU prevede quale percorso di una diramazione ha maggiori probabilità di essere seguito e continua l’esecuzione in modalità speculativa lungo tale percorso, anche prima che la diramazione venga completata. Se la previsione si rivela errata, l’esecuzione speculativa viene annullata in un modo progettato per essere invisibile al software. Tecniche malevole utilizzano in modo improprio l’esecuzione speculativa per accedere alla memoria privilegiata, bypassando i controlli sull’accesso alla memoria.
![Due vulnerabilità individuate nei chip Apple Silicon - macitynet.it Due vulnerabilità individuate nei chip Apple Silicon - macitynet.it](https://www.macitynet.it/wp-content/uploads/2025/01/62467-129492-Slap-flop-xl-jpg.webp)
Apple non ha ancora rilasciato aggiornamenti ma ha fatto sapere di essere al corrente del problema. I ricercatori che hanno individuato le vulnerabilità SLAP e FLOP (qui i dettagli) le hanno segnalate un anno addietro a Cupertino nel primo caso, e circa sei mesi addietro per la seconda.
Le soluzioni immediate non possono essere di tipo hardware (fino alla prossima generazione di chip) ma arriveranno in una prima fase con aggiornamenti di sicurezza per macOS e iOS.
Apple ha fatto sapere ai ricercatori di stare lavorando su soluzioni specifiche: “Vogliamo ringraziare i ricercatori per la loro collaborazione perché questo proof of concept contribuisce a far progredire la comprensione su questo tipo di minacce”, ha riferito un portavoce della Casa di Cupertino. “In base a nostre analisi, non riteniamo che tale questione rappresenti un rischio immediato per i nostri utenti”.
Cosa fare?
Il consiglio è di aggiornare sempre i propri sistemi operativi alle ultime versioni possibili, installare le patch di sicurezza delle applicazioni (aggiornarle), evitare di scaricare applicazioni da siti web sconosciuti e inaffidabili, disabilitare dai browser JavaScript se non necessario e disattivare estensioni per i browser non necessarie.
Per tutte le notizie sulla sicurezza informatica rimandiamo alla sezione dedicata di macitynet.