Un equipo de investigadores de seguridad ha revelado preocupantes vulnerabilidades en los procesadores modernos de Apple, capaces de permitir a personas malintencionadas sustraer información personal desde los navegadores web sin la necesidad de instalar malware en los dispositivos afectados. Denominados FLOP y SLAP, estos fallos comprometen los chips más recientes de la compañía y están ligados a errores en la ejecución especulativa, un proceso que normalmente agiliza los cálculos del procesador pero que, en este caso, expone información sensible.
Los estudios realizados por expertos del Instituto Tecnológico de Georgia y la Universidad Ruhr de Bochum indican que estas vulnerabilidades pueden ser explotadas en remoto mediante sitios web creados específicamente para ejecutar código en JavaScript o WebAssembly. Los investigadores demostraron la posibilidad de extraer información privada desde los navegadores Safari y Chrome, acceder a correos electrónicos y datos de navegación, así como burlar las medidas de seguridad de los navegadores.
Los ataques se dividen en dos categorías. FLOP (False Load Output Prediction) afecta a los chips M3, M4 y A17 y se basa en la predicción incorrecta de valores de memoria. SLAP (Speculative Load Address Prediction) se encuentra presente en los procesadores M2 y A15, explotando fallos en la predicción de direcciones de memoria.
Las pruebas prácticas han revelado la vulnerabilidad de servicios como Gmail, iCloud y Amazon, permitiendo a los atacantes acceder a correos electrónicos, historial de ubicaciones y órdenes de compra, entre otros. Dado que los usuarios solo tienen que visitar un sitio web malicioso para ser víctimas, el riesgo de estos ataques es considerablemente alto.
Aunque Apple fue informada sobre estas vulnerabilidades en marzo y septiembre de 2024 y reconoció su existencia, aún no ha lanzado actualizaciones de seguridad para solucionarlas. «Agradecemos la colaboración de los investigadores, ya que este concepto nos ayuda a comprender mejor estos tipos de amenazas», declaró Apple en un comunicado, asegurando que no creen que represente un riesgo inmediato para los usuarios. Sin embargo, expertos en ciberseguridad advierten que el problema es grave y podría ser explotado para realizar ataques dirigidos a usuarios de dispositivos de Apple con los chips comprometidos.
Ante la falta de una solución inmediata, los especialistas recomiendan a los usuarios desactivar JavaScript en Safari y Chrome, aunque esto afectará la usabilidad de algunos sitios web; evitar el acceso a páginas sospechosas y, sobre todo, actualizar los dispositivos tan pronto Apple distribuya un parche de seguridad. Las vulnerabilidades a nivel de hardware, como FLOP y SLAP, son especialmente peligrosas porque requieren parches complejos a nivel del sistema operativo, y no pueden resolverse con simples modificaciones de software. En espera de una respuesta formal por parte de Apple, se aconseja la máxima precaución para evitar robos de datos que pueden suceder de manera silenciosa y sin dejar rastro.
