Normalerweise sind Apple-Produkte aufgrund ihrer geschlossenen Systemarchitektur recht sicher. Aber auch iPhones, Macs und iPads können von Cyberkriminellen ausgetrickst werden, wie eine Untersuchung von Sicherheitsforscher:innen des Georgia Institute of Technology und der Ruhr-Universität Bochum zeigt. Demnach lassen sich zwei Sicherheitslücken in vielen Apple-Produkten ausnutzen, um an private Daten der User:innen zu kommen.

Zunächst beschreiben die Forscher:innen in ihrem Paper einen Angriff, den sie SLAP getauft haben. Das steht für „Data Speculation Attacks via Load Adress Prediction on Apple Silicon“. Davon sind zahlreiche Apple-Produkte betroffen, die ein Feature namens Load Access Prediction unterstützen. Dazu zählen etwa Macbooks und iPads mit M2-, M3- und M4-Prozessoren. Auch iPhones mit A15-Chip und aktuelleren CPU-Modellen (ab iPhone 13) tragen die Sicherheitslücke in sich.

Durch das Feature sollen iPhones, iPads und Macbooks vorhersehen, welche Speicheradresse als Nächstes von der CPU aufgerufen wird. Sagt LAP die Speicheradresse falsch voraus, steckt die CPU für kurze Zeit in diesem Status fest. In dieser Zeit können laut den Forscher:innen „willkürliche Berechnungen gestartet“ und damit Daten abgerufen werden, die eigentlich hinter Sicherheitsmaßnahmen geschützt wären. So konnten die Forscher:innen etwa Daten aus einem Gmail-Postfach, von Amazon-Bestellungen und andere Browser-Daten extrahieren.

Eine zweite Angriffsmöglichkeit trägt den Namen „Breaking the Apple M3 CPU via False Load Output Prediction“ (FLOP). Dabei wird das Feature namens Load Value Predicition ausgenutzt, das in allen Macbooks und iPads mit M3- und M4-Prozessoren steckt. Auch seit dem iPhone 15 Pro, das mit einem A17-Pro-Chip ausgestattet ist, ist das Feature in Apple-Smartphones vorhanden.

LVP sagt dabei nicht die Speicheradresse voraus, die als Nächstes von der CPU aufgerufen wird, sondern einen Datenwert. Auch hier sind schädliche Zugriffe möglich, wenn die Voraussage scheitert. Laut den Forscher:innen könnten Cyberkriminelle so über Browser wie Safari und Chrome das Gerät dazu zwingen, eine falsche Vorhersage zu machen und diesen Status aktiv ausnutzen, um Daten zu stehlen. Dazu zählen etwa Sucherverläufe im Browser, Kalendereinträge aber auch Kreditkartendaten und Google-Maps-Standortdaten.

Eine vollständige Liste der Apple-Produkte, die von den beiden Sicherheitslücken betroffen sind, geben die Sicherheitsforscher:innen ebenfalls in ihren Forschungsergebnissen an:

• Alle Macbooks, die seit 2022 erschienen sind (Macbook Air, Macbook Pro=
• Alle Desktop-Macs, die seit 2023 erschienen sind (Mac Mini, iMac, Mac Studio, Mac Pro)
• Alle Modelle des iPad Pro, iPad Air und iPad Mini, die seit September 2021 erschienen sind
• Alle iPhones, die seit September 2021 erschienen sind

Die Sicherheitslücken wurden schon im Mai und September 2024 an Apple gemeldet. Die Ergebnisse wurden erst jetzt veröffentlicht, um dem iPhone-Hersteller ausreichend Zeit zu geben, die Sicherheitslücken zu schließen. Denn schließlich könnten Angreifer:innen über schädliche Webseiten, ganz ohne die Injektion von Malware oder direkten Zugang zum Gerät, an sensible Daten der Nutzer:innen gelangen.

Gegenüber Bleeping Computer bestätigte Apple, dass die Probleme zur Kenntnis genommen wurden. Zudem bedankte sich das Unternehmen bei den Sicherheitsforscher:innen. Allerdings gäbe es laut einer Analyse von Apple keine direkte Bedrohungslage für Nutzer:innen. Dennoch arbeitet Apple daran, die Lücken zu schließen. Wann das der Fall sein wird, ließ der iPhone-Konzern aber noch offen.

Dementsprechend müssen Apple-Nutzer:innen mit den betroffenen Geräten vorerst mit den möglichen Risiken leben. Es bleibt ratsam, keine unbekannten Webseiten anzusteuern und dubiose Links im Netz, in E-Mails oder in Privatnachrichten nicht zu öffnen. Laut Bleeping Computer könnten Apple-Nutzer:innen auch JavaScript in Safari und Chrome deaktivieren. Allerdings könnten dadurch auch viele sichere Webseiten, die die Skriptsprache nutzen, plötzlich nicht mehr funktionieren.