Een van de manieren waarop Apple heel snel kan schakelen, is door veel taken direct te offloaden naar haar chipsets. Daarmee worden webpagina’s veel dichter op de kern van Apple hardware uitgevoerd en dat kunnen onderzoekers nu misbruiken om de browsergeschiedenis van een gebruiker naar zich toe te trekken.
Via een valse browserpagina kunnen de onderzoekers met behulp van javascript op deze manier niet alleen interessante data over jouw internetgedrag buitmaken, maar ook betalingsgegevens en andere belangrijkere data. De onderzoekers hebben deze technieken FLOP en SLAP genoemd.
FLOP slaat op de problemen die in de A15 chipset en nieuwer spelen. Omdat Apple makers van browsers op iOS al jaren verplicht de Safari browser te gebruiken (inderdaad, ook de Chrome browser is gewoon Safari met een Google twist), geldt dit probleem voor alle webbrowsers en apps die een webbrowser gebruiken.
SLAP slaat op het probleem op Apple M2 hardware en nieuwer. Onder macOS gebruikt alleen Safari de Safari browser engine, dus gebruikers van andere browsers zijn veilig.
Apple heeft de onderzoekers bedankt en aangegeven dit probleem in de toekomst op te lossen, maar het niet ernstig genoeg te vinden. Apple raadt gebruikers die bang zijn voor misbruik aan om het uitvoeren van javascript in de browser uit te zetten. Nadeel is dat vrijwel alle interactie op websites op basis van javascript is, waardoor een groot deel van het internet niet meer voor je zal werken.
In de praktijk weten we van onderzoekers die vergelijkbare problemen bij chipsets van onder anderen Intel vonden, dat het patchen van dit soort problemen extreem lastig en kostbaar is. Bij weinig misbruik is het daardoor ‘misschien’ goedkoper om wat meer risico te nemen.