Un gruppo di ricercatori universitari ha pubblicato i risultati di uno studio che illustra un attacco side channel, denominato iLeakage, contro Safari su macOS e iOS. La vulnerabilità è presente nei processori Apple A e M integrati in iPhone, iPad e Mac. Il problema di sicurezza è simile a quelli scoperti nelle CPU Intel e AMD (Meltdown e Spectre) quasi sei anni fa. La patch non è ancora disponibile, ma esiste una soluzione temporanea.
iLeakage: furto di password dal browser
Gli attacchi side channel permettono di accedere ai dati elaborati dalla CPU tramite l’esecuzione speculativa. Nel caso di iLeakage, la vulnerabilità è presente nei chip Apple e viene sfruttata quando l’utente visita una pagina web contenente codice JavaScript e Assembly che può leggere il contenuto di un’altra pagina web.
iLeakage funziona su macOS solo con Safari, mentre su iOS e iPadOS funziona con qualsiasi browser che usa il motore di rendering WebKit (obbligatorio in base alle regole di Apple). I ricercatori hanno pubblicato tre video che mostrano altrettanti casi. Nel primo vengono rubate le credenziali di Instagram, memorizzate in LastPass, usando Safari su macOS.
Nel secondo video è visibile la lettura dell’oggetto delle email ricevute con Gmail, usando Safari per iOS.
Il terzo video mostra come accedere alla cronologia di YouTube, quando l’utente usa Chrome per iOS.
La vulnerabilità è stata segnalata ad Apple oltre un anno fa. L’azienda ha comunicato che rilascerà una patch nelle prossime versioni di iOS e macOS. Al momento è disponibile una soluzione temporanea (solo per Safari su macOS) che può essere applicata manualmente seguendo le istruzioni dei ricercatori.