اكتشف باحثو الأمن عيوب أمنية جديدة تؤثر على أجهزة Apple مع رقائق M2 أو A15 وما بعدها. ويشمل ذلك أجهزة iPhone و iPads وأجهزة الكمبيوتر المحمولة Mac و Mac Desktops. يمكن أن تسمح نقاط الضعف ، التي يطلق عليها Slap و Flop ، والتي تم الإبلاغ عنها أولاً بواسطة Bleeping Computer ، للمهاجمين بقراءة المعلومات من علامات تبويب الويب المفتوحة للمستخدم. اعتمادًا على علامات التبويب التي تفتحها ، قد يضع هذا بيانات حساسة مثل كلمات المرور والمعلومات المصرفية للخطر.
هذه ليست مشكلة في البرنامج ، بل عيب في الأجهزة يؤثر على وحدات المعالجة المركزية ويجعلها عرضة لهجمات القناة الجانبية. يقيس هذا النوع من استغلال نشاط وحدة المعالجة المركزية ويستخدم عوامل مثل استهلاك الطاقة والتوقيت والصوت لاستنتاج معلومات حول سلوك المستخدم. عملت عيوب الشبح والانهيار من عام 2018 بطريقة مماثلة.
إنها أشياء معقدة للغاية ، ولكن الجزء المهم هو أنه من الممكن للمهاجمين الحصول على معلومات حساسة حتى عندما يكون محميًا بشكل صحيح بواسطة البرنامج الذي يعمل عليه جهاز الكمبيوتر الخاص بك. إن سبب ضعف نقاط الضعف هذه ليس مشكلة في Apple ، إنه تحسين أداء يستخدم في معظم وحدات المعالجة المركزية الحديثة.
تعد برامج الكمبيوتر مجرد سلسلة طويلة من الإرشادات التي تنفذها وحدة المعالجة المركزية ، ولكن نظرًا لوجود العديد من النتائج المختلفة التي يجب تغطيتها ، تتوسع هذه التعليمات إلى جميع أنواع الفروع المختلفة. “إذا كان A ، فقم بـ X ، إذا كان B ، فعليك فعل y ، أو” إذا حدث A ، عد إلى النقطة X ” – في برنامج كبير ، يحدث ملايين القرارات مثل هذه من أجل التقدم.
لتسريع الأمور ، أصبح من الممارسات المعتادة الآن التنبؤ بالمسار الذي يجب أن تأخذه وحدة المعالجة المركزية والبدء في تنفيذ التعليمات بشكل أكبر أسفل الخط. وبهذه الطريقة ، يمكن القيام بمزيد من العمل في نفس الوقت ، بدلاً من كل تعليمات تنتظر دورها بالترتيب الصحيح.
يُطلق على هذا التحسين التنفيذ المضاربة أو التنبؤ بالفرع ، ولأنه يعتمد على التنبؤات ، فإنه لا يسير على ما يرام دائمًا. عندما نأتي بنتائج عكسية ، نحصل على نقاط الضعف هذه التي يمكن للمهاجمين الاستفادة منها.
الأسماء الكاملة للعيوب الجديدة هي “هجمات تكهنات البيانات عبر التنبؤ بعنوان التحميل على سيليكون Apple (SLAP)” و “كسر وحدة المعالجة المركزية Apple M3 عبر تنبؤات إخراج الحمل الخاطئة (Flop).” كلاهما يسبب نفس المشكلة بشكل أساسي ، ولكن على الرغم من أن Slap يقتصر على متصفح Safari ، فإن Flop يعمل مع Chrome أيضًا.
يثبت البحث مع العروض التوضيحية أن الهجمات القائمة على هذه العيوب ممكنة ، ولكن لا يوجد دليل على أن أي مجرمي الإنترنت يستخدمونها في الوقت الحالي. شارك الباحثون نتائجهم مع Apple العام الماضي وقالوا إن الشركة ردت ، قائلة إنها تخطط لمعالجة القضايا. ومع ذلك ، مرت الأشهر ومنذ نشر الأوراق ، فإن التعليق الرسمي الوحيد من Apple (إلى BleepingComputer) هو:
“نريد أن نشكر الباحثين على تعاونهم لأن هذا الدليل على المفهوم يطور فهمنا لهذه الأنواع من التهديدات. بناءً على تحليلنا ، لا نعتقد أن هذه القضية تشكل خطرًا فوريًا لمستخدمينا. “
على الرغم من أن هذه الهجمات لا تتضمن البرامج الضارة ، إلا أنها لا تزال تبدأ بزيارة موقع ويب ضار. كما هو الحال دائمًا ، فإن أفضل طريقة لحماية نفسك حتى نحصل على تحديثات أمان هي الحذر من الروابط المشبوهة وعناوين URL أثناء التصفح.