苹果M系列芯片曝出惊人漏洞：Safari和Chrome浏览器或成窃密工具

近日，苹果M系列芯片被曝出两个严重的侧信道攻击漏洞，名为SLAP和FLOP。这两个漏洞允许攻击者仅通过访问恶意网站，无需任何恶意软件或物理接触，即可从Safari或Chrome浏览器窃取敏感信息，例如位置历史记录、信用卡信息等。

SLAP和FLOP利用了CPU的微架构，通过操纵内存访问模式和预测机制，获取敏感数据。SLAP利用加载地址预测器（LAP），而FLOP利用加载值预测器（LVP），两者都通过测量内存访问时间来推断数据。

受影响的设备包括2022年至今的所有Mac笔记本电脑、2023年至今的所有Mac台式机、2021年9月至今的所有iPad和iPhone。虽然目前没有证据表明这两个漏洞被恶意利用，但其潜在风险巨大，苹果公司也承认了漏洞的存在，并表示正在计划解决，但截至目前尚未提供修复方案。

研究人员早在2024年3月和9月就已向苹果报告了这两个漏洞，但苹果的回应相对迟缓，并认为此问题不会对用户构成直接风险。

这并非苹果M系列芯片首次曝出安全漏洞。此前，M系列芯片也曾遭受Meltdown、Spectre等重大漏洞的冲击，以及其他针对其微架构的侧信道攻击。这些漏洞凸显了现代CPU中“推测性执行”机制的潜在安全风险，也反映出苹果在芯片安全方面面临的挑战。目前，彻底解决此类漏洞，通常需要牺牲性能或功能，这给苹果公司带来了巨大的难题。