Nieuws

Alle iPhones en Macs van 2021 en later kwetsbaar voor hacks

Apple iPhone Macbook
© iStock / dontree_m
Heb je een Apple-toestel dat in 2021 of later gelanceerd werd, dan is het kwetsbaar voor maar liefst twee verschillende hacks.

Apple ontwerpt, als grootste technologiebedrijf ter wereld, de meeste onderdelen voor hun toestellen zelf. Dat geldt niet alleen voor de buitenkant, maar ook voor de binnenkant. A-chips voor iPhones ontwerpt Apple al langer zelf, terwijl het sinds enkele jaren ook M-chips maakt voor Macs en iPads. Een groot aantal van die chips, waaronder ook recente modellen, blijken kwetsbaar voor hacks.

Meer specifiek gaat het om zogenoemde ‘side channel attacks’. De zijkanaalaanvallen proberen geheime informatie te achterhalen door heel goed op de processor te letten. Informatie zoals timings, geluiden en zelfs het energieverbruik worden geanalyseerd om na te gaan wat een processor precies aan het doen is. Dat komt door enkele optimalisaties die Apple voor de processors maakte. Ze gebruiken bijvoorbeeld ‘speculative execution’ of ‘speculatieve uitvoering’. Daarbij gaat de CPU als het ware proberen voorspellen wat er gaat gebeuren. Geheugen wordt daarbij op voorhand ingeladen, zodat jij als gebruiker nooit lang op resultaat hoeft te wachten.

FLOP-aanval

Er zijn meerdere manieren waarop cybercriminelen daar misbruik van kunnen maken. De krachtigste manier is met een exploit die ‘FLOP’ genoemd wordt. Die maakt gebruik van de Load Value Predictor (LVP) van de chip. De LVP probeert geheugeninhoud te voorspellen nog voor die beschikbaar is. Door vervormde gegevens aan de LVP te laten zien, kunnen cybercriminelen het geheugen doelgericht uitlezen.

SLAP-aanval

Een andere hack heet ‘SLAP’. Die heeft iets minder verregaande gevolgen, aangezien de kwetsbaarheid alleen Safari treft. SLAP maakt gebruik van de Load Access Predictor (LAP). Die werkt zoals de LVP, maar gaat specifiek op zoek naar de locatie van gegevens. Heb je in een tab Gmail openstaan? Dan kunnen hackers, via bepaalde websites, als het ware over de muur kijken. Normaal gezien zijn beveiligingen van kracht die misbruik moeten voorkomen, maar de FLOP- en SLAP-aanvallen omzeilen die beveiligingen zonder moeite.

FLOP is zonder twijfel de gevaarlijkste aanval van de twee, omdat die in een groot aantal gevallen werkt. In het geval van SLAP moet je al Safari gebruiken om kwetsbaar te zijn. Daarnaast moet je de websites voor Gmail of iCloud hebben openstaan én minstens 5 minuten actief zijn op een kwaadaardige website.

Getroffen toestellen

Heel wat toestellen zijn kwetsbaar voor de hacks. De getroffen processoronderdelen werden in 2021 geïntroduceerd. Volgende toestellen zijn kwetsbaar voor aanvallen met FLOP en SLAP:

  • Alle Macbooks van 2022 tot heden (zowel Macbook Air als Macbook Pro)
  • Alle Macs-toestellen voor desktops van 2023 en later (Mac Mini, iMac, Mac Studio, Mac Pro)
  • Alle iPads van 2021 tot heden (6de en 7de generatie ipad Pro, 6de generatie iPad Air, 6de generatie iPad Mini)
  • Alle modellen van de iPhone 13, 14, 15, 16 en de iPhone SE (3de generatie)

Het uitschakelen van de LVP- en LAP-modules, lijkt alvast geen optie. De chips zijn namelijk snel dankzij die onderdelen en processen. Als die gedeactiveerd worden, zal je meteen merken dat het toestel minder snel werkt. Of Apple aan een oplossing werkt voor deze kwetsbaarheid is op moment van schrijven niet duidelijk. Tegen de onderzoekers zeggen medewerkers van wel, maar Apple ontkent dat op andere vlakken. Het bedrijf meent dat het lek geen “onmiddellijk risico voor onze gebruikers” vormt, en geeft dus geen prioriteit aan een oplossing.

Uitgelicht artikel Apple Watch Series 9 Apple aangeklaagd voor PFAS in Watch-bandjes
AppleBeveiligingipadiphonemac

Gerelateerde artikelen

Volg ons

Lezersaanbod: korting op Kuno (op=op)

Lezersaanbod: korting op Kuno (op=op)

Bestel voor €119 i.p.v. €200