Apple официально подтвердила о серьезном недостатке в системе безопасности, затрагивающем некоторые из ее продуктов. Пока было заявлено, что затронуты iPhone 12 и M2 MacBook Air.
Вероятно, более старые продукты Apple также все еще содержат подобную уязвимость. Исследователи из Trail of Bits, которые первоначально обнаружили недостаток в системе безопасности, отметили, что недавно выпущенные iPhone 15 и M3 MacBook Pro, получили необходимые исправления для устранения проблемы. Тем не менее нет конкретного списка, какие продукты в настоящее время все еще затронуты.
Недостаток в системе безопасности, получивший название LeftoverLocals, позволяет злоумышленникам считывать данные, которые ранее были обработаны графическим процессором устройства. Как продемонстрировали исследователи безопасности из Trail of Bits, злоумышленник может украсть информацию, например, результаты запроса, отправленного чат-боту с искусственным интеллектом, такому как ChatGPT. Удивительно простой процесс получения конфиденциальных данных содержит всего 10 строк кода.
Помимо оборудования Apple, затронуты устройства Qualcomm, включающие десятки моделей телефонов и планшетов на Android. AMD заявила, что работает над серией исправлений, которые будут доступны в марте.
Для LeftoverLocals требуется предварительно существующий доступ к целевому устройству. Это означает, что затронутые устройства не становятся мгновенно уязвимыми. Эксплойт необходимо использовать в сочетании с более традиционными кибератаками (такими как фишинговые сайты и небезопасные электронные письма), чтобы быть эффективным. Таким образом не следует переходить по сомнительным ссылкам.