Apple cihazlarında, özellikle tüm mevcut iPhone, iPad ve Mac modelleri ile birçok eski cihazda bulunan iki güvenlik açığı keşfedildi: SLAP ve FLOP. Bu zayıflıklar, kötü niyetli bir kişinin açık web sekmelerinizin içeriğine erişmesine olanak tanıyabilir. A15 ve M2 çipleriyle başlayan bu sorunlar, cihazın her yeni sürümüyle birlikte devam ediyor.
Apple cihazlarda yeni bir güvenlik açığı ortaya çıktı
SLAP (Speculation Attacks via Load Address Prediction) ve FLOP (False Load Output Predictions), Georgia Teknoloji Enstitüsü’ndeki güvenlik araştırmacıları tarafından keşfedildi. Bu açıklar, Spectre ve Meltdown açıkları gibi, işlemcilerin hızlandırılmış işlem süreleri sağlamak için uyguladıkları spekülatif yürütme yönteminden kaynaklanıyor. Bu yöntem, çipin olası komutları önceden tahmin etmesi ve bu komutları gerçekleştirmek için gerekli olan verileri yüklemesiyle çalışıyor. Eğer saldırgan, yanlış biçimlendirilmiş verilerle bu işlemi manipüle edebilirse, çipin erişmemesi gereken bellek içeriği okunabiliyor.
Safari’de her sekme izole edilmesi gereken bir alan içinde çalışmalıdır. Ancak SLAP açığı, bir saldırganın sizi zararlı bir web sitesine yönlendirerek, o sırada açık olan diğer Safari sekmelerindeki verilere ulaşmasını sağlar. Bu saldırganın, e-postalarınıza, konum bilgilerinize, banka hesaplarınıza ve başka kişisel verilere erişebilmesini mümkün kılar. FLOP ise benzer bir açığı sunar ancak daha güçlüdür ve Safari dışında Chrome’da da çalışabilir.
Apple’ın ikonik reklamı, 41. yaşına bastı!
Bu güvenlik açıklarının bir zararlı yazılım gerektirmediği, yalnızca Apple’ın kendi kodlarındaki hatalar sayesinde gerçekleştirilebildiği belirtiliyor ve saldırıların tespit edilmesi son derece zor. Herhangi bir A15 veya sonrasındaki çipe sahip Apple cihazı, yanı sıra M2 veya sonrası cihazlar da bu güvenlik riskine açık. Araştırmacılar iPhone 13, 14, 15, 16, 3. nesil iPhone SE, 2021 ve sonrasındaki iPad Air, iPad Pro, iPad mini gibi birçok cihazın etkilendiğini belirtiyor. MacBook Air, MacBook Pro, Mac mini, Mac Studio, iMac ve Mac Pro gibi modeller de bu zayıflıktan etkileniyor.
Günlük kullanımda, araştırmacılar bu güvenlik açıklarının henüz kötüye kullanıldığına dair bir kanıt olmadığını belirtiyorlar. Apple, Mayıs 2024’te SLAP, Eylül 2024’te ise FLOP hakkında bilgilendirildikten sonra her iki açığı düzeltmek için çalışmalarını sürdürüyor. Şirket, şu anda bu güvenlik açığının kullanıcılar için acil bir tehlike oluşturmadığını ve başka bir önlem alınmasının gerekmediğini belirtti. Yine de, ziyaret edilen web sitelerinde dikkatli olunması öneriliyor.
