据报道,2021年后发布的多款苹果设备受到两种新发现的漏洞的影响,这些漏洞存在于苹果A系列和M系列芯片中。攻击者可能通过这些漏洞未经授权远程访问敏感用户数据,包括信用卡信息、位置、日程和电子邮件,特别是在通过Chrome和Safari浏览器浏览如iCloud日历、Gmail、Google地图和Proton Mail等网站时。
根据乔治亚理工学院和博胡姆鲁尔大学的研究人员(通过Ars Technica)的说法,这些漏洞影响了苹果自家芯片后代的CPU,容易受到旁道攻击:“这类漏洞通过测量诸如时间、声音和功耗等表现来推测秘密。”研究人员分享的概念验证演示展示了如何利用FLOP和SLAP旁道攻击来窃取Google地图的位置信息、查看存储在iCloud日历中的事件、查看Gmail和Proton Mail的收件箱内容,甚至读取电子邮件内容。
以下苹果设备 reportedly 易受上述一种或两种攻击影响:
- 2022年至今的所有MacBook Air和MacBook Pro型号
- 2023年至今的所有Mac Mini、iMac、Mac Studio和Mac Pro型号
- 2021年9月至今的所有iPad Pro、Air和Mini型号
- 2021年9月至今的所有iPhone型号
研究人员已将这些漏洞报告给苹果,并发布了一份缓解措施清单,可以修补这些安全漏洞。尽管苹果表示这些漏洞“对用户构成的直接风险不大”,但公司私下告诉研究人员,计划尽快发布补丁。