Un grupo de investigadores de seguridad ha descubierto graves vulnerabilidades en los procesadores modernos de Apple, que podrían permitir a atacantes robar información personal desde los navegadores web, sin necesidad de instalar malware en los dispositivos afectados.

Los fallos, denominados FLOP y SLAP, afectan a los chips más recientes de la compañía y están relacionados con errores en la ejecución especulativa, un mecanismo que acelera los cálculos del procesador pero que en este caso expone información sensible.

Ataques silenciosos desde el navegador

De acuerdo con los estudios realizados por investigadores del Instituto Tecnológico de Georgia y la Universidad Ruhr de Bochum, estas vulnerabilidades pueden ser explotadas de manera remota mediante sitios web maliciosos que ejecutan código en JavaScript o WebAssembly.

Los investigadores demostraron que es posible:
✔ Extraer información privada desde Safari y Chrome.
✔ Acceder a correos electrónicos y datos de navegación.
✔ Burlar las medidas de seguridad de los navegadores, como la protección sandbox y la aleatorización de memoria.

Los ataques se dividen en dos categorías:

• FLOP (False Load Output Prediction): afecta a los chips M3, M4 y A17 y se basa en la predicción incorrecta de valores de memoria.
• SLAP (Speculative Load Address Prediction): presente en los procesadores M2 y A15, aprovecha fallos en la predicción de direcciones de memoria.

Datos comprometidos: Gmail, iCloud y Amazon en la mira

Los investigadores lograron extraer información confidencial en pruebas reales, incluyendo:
📌 Correos electrónicos de Gmail y Proton Mail.
📌 Historial de ubicaciones de Google Maps.
📌 Órdenes de compra en Amazon.
📌 Eventos privados en iCloud Calendar.

El riesgo es alto, ya que los usuarios solo necesitan visitar un sitio web malicioso para ser víctimas del ataque, sin requerir la instalación de ningún software malicioso.

Apple reconoce el problema, pero aún no hay solución

Los investigadores notificaron a Apple sobre estas vulnerabilidades en marzo y septiembre de 2024. La compañía ha reconocido la existencia de los fallos, pero hasta el momento no ha lanzado actualizaciones de seguridad para corregirlos.

«Agradecemos la colaboración de los investigadores, ya que este concepto nos ayuda a comprender mejor estos tipos de amenazas», declaró Apple en un comunicado. «Según nuestro análisis, no creemos que este problema represente un riesgo inmediato para nuestros usuarios».

Sin embargo, expertos en ciberseguridadLas soluciones de ciberseguridad son esenciales en la era di advierten que el problema es serio y podría ser aprovechado por ciberdelincuentes para realizar ataques dirigidos contra usuarios de dispositivos Mac, iPhone y iPad con los chips afectados.

¿Cómo protegerse hasta que haya un parche?

Mientras Apple trabaja en una solución, los especialistas recomiendan:
🔹 Desactivar JavaScript en Safari y Chrome, aunque esto afectará la funcionalidad de muchos sitios web.
🔹 Evitar el acceso a páginas desconocidas o sospechosas.
🔹 Actualizar los dispositivos en cuanto Apple publique un parche de seguridad.

Las vulnerabilidades de hardware, como FLOP y SLAP, son especialmente peligrosas porque no pueden corregirse con simples ajustes de software, sino que requieren parches complejos a nivel del sistema operativo.

Hasta que Apple tome medidas concretas, los usuarios deben extremar precauciones para evitar ser víctimas de estos ataques que, silenciosamente, pueden extraer datos sensibles sin dejar rastro.

vía: Noticias seguridad