SLAP y FLOP: Las nuevas vulnerabilidades que afectan a millones de dispositivos Apple

Recientes investigaciones han sacado a la luz dos serias vulnerabilidades de seguridad que afectan a los dispositivos de Apple lanzados en los últimos años. Conocidas como SLAP (Speculation Attacks via Load Address Prediction) y FLOP (False Load Output Predictions), estas fallas representan un grave riesgo para la privacidad de los usuarios, permitiendo que atacantes puedan acceder a información sensible.

Ambas vulnerabilidades han sido descubiertas por expertos en ciberseguridad del Instituto de Tecnología de Georgia y la Universidad del Ruhr de Bochum. Según las investigaciones, estos fallos están presentes en dispositivos que incorporan los procesadores Apple M2 y A15, afectando a iPhones, iPads y Macs producidos en los últimos años. Las vulnerabilidades recuerdan a los famosos problemas de seguridad Meltdown y Spectre que impactaron los procesadores de Intel y ARM hace unos años.

¿Cómo funcionan SLAP y FLOP?

SLAP y FLOP se aprovechan de una técnica llamada ejecución especulativa, utilizada por los procesadores de Apple para anticiparse a ciertas operaciones y mejorar el rendimiento. En esencia, este método permite al chip predecir qué datos o instrucciones necesitará a continuación, cargándolos antes de tiempo.

Por un lado, SLAP explota el predictor de dirección de carga de la CPU, engañándolo para acceder a áreas de memoria restringidas. Esto puede resultar en la filtración de datos sensibles almacenados en el dispositivo, como correos electrónicos o información de navegación. Por otro lado, FLOP utiliza un enfoque similar pero con un alcance más amplio, ya que puede impactar en múltiples navegadores, incluyendo Safari y Google Chrome, rompiendo las barreras de seguridad entre pestañas abiertas.

Estas vulnerabilidades no requieren acceso físico al dispositivo. Los atacantes solo necesitan engañar al usuario para que visite un sitio web comprometido, desde donde pueden extraer información sin que la víctima lo detecte.

Dispositivos afectados

La investigación ha identificado una amplia lista de dispositivos que son vulnerables a SLAP y FLOP. Entre ellos se encuentran:

iPhone

• iPhone 13
• iPhone 14
• iPhone 15
• iPhone 16
• iPhone SE (2022)

iPad

• iPad Air (2021 en adelante)
• iPad Pro (2021 en adelante)
• iPad mini (2021 en adelante)

Mac

• MacBook Air (2022 en adelante)
• MacBook Pro (2022 en adelante)
• Mac mini (2023 en adelante)
• Mac Studio (2023 en adelante)
• iMac (2023 en adelante)
• Mac Pro (2023)

Cualquier dispositivo que incorpore los chips mencionados es susceptible de ser comprometido en caso de que un atacante aproveche estas vulnerabilidades.

¿Qué dice Apple y cómo protegerse?

Apple fue informada de estos problemas a lo largo de 2024 en dos ocasiones: en marzo respecto a SLAP y en septiembre sobre FLOP. Aunque la compañía ha reconocido el problema y agradecido a los investigadores su trabajo, hasta la fecha no se han implementado parches para corregir estas fallas. Según Apple, no consideran que estas vulnerabilidades presenten un riesgo inmediato para los usuarios.

A pesar de esto, los expertos en ciberseguridad recomiendan tomar medidas preventivas para evitar posibles ataques. Mantener todos los dispositivos actualizados con las últimas versiones de software es una de las formas más efectivas de protegerse. Además, se aconseja evitar visitar sitios web no confiables y utilizar navegadores con configuraciones de privacidad reforzadas.

Las vulnerabilidades SLAP y FLOP reflejan los desafíos constantes en la industria tecnológica para garantizar la seguridad de los usuarios. Aunque hasta el momento no se han reportado ataques reales usando estas fallas, es crucial estar atentos y seguir buenas prácticas de ciberseguridad para minimizar cualquier riesgo potencial.