Onderzoekers van het Georgia Institute of Technology hebben een beveiligingslek ontdekt op alle nieuwere Apple-apparaten, waaronder iPhones.
Lees verder na de advertentie.
Beveiligingslek ontdekt in iPhones en Macs
Door het lek kunnen kwaadwillenden aanvallen uitvoeren waarbij gegevens van andere browservensters of -tabbladen worden gestolen. Zo zijn bijvoorbeeld je locatiegegevens op een Google Maps tabblad zichtbaar, maar ook bankgegevens en inloggegevens zijn potentiële doelen.
De meeste moderne browsers gebruiken een ‘sandbox’, zodat een browservenster geen toegang heeft tot gegevens van andere vensters. Het beveiligingslek op iPhones en Macs maakt gebruik van functies van de nieuwste Apple-processors om deze sandbox te omzeilen. In feite zijn het twee beveiligingslekken, genaamd SLAP en FLOP.

SLAP en FLOP
Beveiligingslek SLAP (SpeculationAttacks via Load Address Prediction) gebruikt een functie van de M2- en A15-processors om gegevens van andere browservensters op te halen. SLAP werkt in Safari. FLOP (False Load Output Predictions) probeert dezelfde functie te misleiden en kan vervolgens (kwaadaardige) code uitvoeren. FLOP werkt in Safari en Chrome.

Welke Apple-apparaten lopen gevaar?
Volgens de onderzoekers zijn de volgende Apple-apparaten voorzien van de hardware die nodig is om het beveiligingslek op iPhones en Macs uit te voeren:
- Alle MacBooks vanaf 2022 (MacBook Air, MacBook Pro)
- Alle Macs vanaf 2023 (Mac mini, iMac, Mac Studio, Mac Pro)
- Alle iPad Pro’s, Air’s en mini’s vanaf september 2021 (iPad Pro 6 en 7, iPad Air 6 en iPad mini 6)
- Alle iPhones vanaf september 2021 (iPhone 13, 14, 15 en 16, iPhone SE 3)
Er waren al eerder beveiligingsproblemen in verschillende Apple-producten. Een van deze fouten, genaamd CVE-2025-24085, was een zogeheten zero-day bug in de CoreMedia-functie. Hierdoor kon een reeds geĂŻnstalleerde kwaadaardige app toegang krijgen op een hoger niveau dan zou moeten. Apple heeft dit probleem opgelost met de iOS 18.3-update. Het blijft dus belangrijk om software-updates van Apple zo snel mogelijk te installeren!
Beveiligingslek iPhones en Macs nog niet opgelost
Apple gaat de beveiligingslekken zeker oplossen, maar het lijkt nog wel even te gaan duren. De onderzoekers meldden SLAP al op 24 mei 2024 aan Apple en FLOP op 3 september 2024. Apple heeft inmiddels tegen de website BleepingComputer gezegd:
We want to thank the researchers for their collaboration as this proof of concept advances our understanding of these types of threats. Based on our analysis, we do not believe this issue poses an immediate risk to our users.
(We willen de onderzoekers bedanken voor hun samenwerking omdat deze proof of concept ons inzicht in dergelijke bedreigingen vergroot. Op basis van onze analyse geloven we niet dat dit probleem een direct risico vormt voor onze gebruikers.)
Op de SLAP- en FLOP-website die de onderzoekers van het Georgia Institute of Technology hebben opgezet, kun je meer te weten komen over de veiligheidslekken op iPhones en Macs. Je kunt er bijvoorbeeld ook testdemonstraties in actie zien.