SLAP y FLOP: Las nuevas vulnerabilidades que afectan a millones de dispositivos Apple

รšltima actualizaciรณn:
Autor:
  • SLAP y FLOP son vulnerabilidades graves en dispositivos Apple con chips M2 y A15 en adelante.
  • Permiten a los atacantes acceder a informaciรณn sensible a travรฉs de navegadores como Safari y Chrome.
  • Estas vulnerabilidades explotan la ejecuciรณn especulativa, similar a los casos de Meltdown y Spectre.
  • Apple estรก trabajando en soluciones, pero aรบn no hay parches disponibles para corregir estos fallos.

apple flop slap-1

Recientes investigaciones han sacado a la luz dos serias vulnerabilidades de seguridad que afectan a los dispositivos de Apple lanzados en los รบltimos aรฑos. Conocidas como SLAP (Speculation Attacks via Load Address Prediction) y FLOP (False Load Output Predictions), estas fallas representan un grave riesgo para la privacidad de los usuarios, permitiendo que atacantes puedan acceder a informaciรณn sensible.

Ambas vulnerabilidades han sido descubiertas por expertos en ciberseguridad del Instituto de Tecnologรญa de Georgia y la Universidad del Ruhr de Bochum. Segรบn las investigaciones, estos fallos estรกn presentes en dispositivos que incorporan los procesadores Apple M2 y A15, afectando a iPhones, iPads y Macs producidos en los รบltimos aรฑos. Las vulnerabilidades recuerdan a los famosos problemas de seguridad Meltdown y Spectre que impactaron los procesadores de Intel y ARM hace unos aรฑos.

ยฟCรณmo funcionan SLAP y FLOP?

Funcionamiento de SLAP y FLOP

SLAP y FLOP se aprovechan de una tรฉcnica llamada ejecuciรณn especulativa, utilizada por los procesadores de Apple para anticiparse a ciertas operaciones y mejorar el rendimiento. En esencia, este mรฉtodo permite al chip predecir quรฉ datos o instrucciones necesitarรก a continuaciรณn, cargรกndolos antes de tiempo.

Por un lado, SLAP explota el predictor de direcciรณn de carga de la CPU, engaรฑรกndolo para acceder a รกreas de memoria restringidas. Esto puede resultar en la filtraciรณn de datos sensibles almacenados en el dispositivo, como correos electrรณnicos o informaciรณn de navegaciรณn. Por otro lado, FLOP utiliza un enfoque similar pero con un alcance mรกs amplio, ya que puede impactar en mรบltiples navegadores, incluyendo Safari y Google Chrome, rompiendo las barreras de seguridad entre pestaรฑas abiertas.

Estas vulnerabilidades no requieren acceso fรญsico al dispositivo. Los atacantes solo necesitan engaรฑar al usuario para que visite un sitio web comprometido, desde donde pueden extraer informaciรณn sin que la vรญctima lo detecte.

  6 Mejores Programas de Seguridad Para PC

Dispositivos afectados

Dispositivos Apple afectados

La investigaciรณn ha identificado una amplia lista de dispositivos que son vulnerables a SLAP y FLOP. Entre ellos se encuentran:

iPhone

  • iPhone 13
  • iPhone 14
  • iPhone 15
  • iPhone 16
  • iPhone SE (2022)

iPad

  • iPad Air (2021 en adelante)
  • iPad Pro (2021 en adelante)
  • iPad mini (2021 en adelante)

Mac

  • MacBook Air (2022 en adelante)
  • MacBook Pro (2022 en adelante)
  • Mac mini (2023 en adelante)
  • Mac Studio (2023 en adelante)
  • iMac (2023 en adelante)
  • Mac Pro (2023)

Cualquier dispositivo que incorpore los chips mencionados es susceptible de ser comprometido en caso de que un atacante aproveche estas vulnerabilidades.

ยฟQuรฉ dice Apple y cรณmo protegerse?

Apple fue informada de estos problemas a lo largo de 2024 en dos ocasiones: en marzo respecto a SLAP y en septiembre sobre FLOP. Aunque la compaรฑรญa ha reconocido el problema y agradecido a los investigadores su trabajo, hasta la fecha no se han implementado parches para corregir estas fallas. Segรบn Apple, no consideran que estas vulnerabilidades presenten un riesgo inmediato para los usuarios.

A pesar de esto, los expertos en ciberseguridad recomiendan tomar medidas preventivas para evitar posibles ataques. Mantener todos los dispositivos actualizados con las รบltimas versiones de software es una de las formas mรกs efectivas de protegerse. Ademรกs, se aconseja evitar visitar sitios web no confiables y utilizar navegadores con configuraciones de privacidad reforzadas.

Las vulnerabilidades SLAP y FLOP reflejan los desafรญos constantes en la industria tecnolรณgica para garantizar la seguridad de los usuarios. Aunque hasta el momento no se han reportado ataques reales usando estas fallas, es crucial estar atentos y seguir buenas prรกcticas de ciberseguridad para minimizar cualquier riesgo potencial.

Deja un comentario