Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Door , , 79 reacties
Submitter: YorrickNL

Een exploit in Siri geeft kwaadwillenden toegang tot contacten en foto's op een iPhone 6s zonder de toegangscode te hoeven invoeren. De truc werkt via 3D Touch, waardoor het op andere iPhones en op iPads niet werkt.

YouTube-gebruiker videosdebarraquito plaatste als eerste een video van de exploit en Tweakers heeft de bug kunnen reproduceren op een iPhone 6s. Op een iPhone 6s Plus daarentegen lukte de truc niet. Het is onbekend of de bypass werkt op elke iPhone 6s. YouTube-gebruiker EverythingApplePro laat hem zien op twee verschillende iPhone 6s-exemplaren. De truc werkt in elk geval op de meest recente iOS-versie, 9.3.1. Of oudere versies ook kwetsbaar zijn, is niet duidelijk, maar ligt wel voor de hand.

De truc werkt via Siri op het lockscreen. De kwaadwillende vraagt Siri om Twitter te doorzoeken op tweets met een e-mailadres. Als Siri de tweets toont, drukt de gebruiker op een legitiem mailadres met 3D Touch. Vervolgens verschijnt een popup om het mailadres toe te voegen aan een bestaand of nieuw contact. Via de optie om het toe te voegen aan bestaand contact, krijgt de kwaadwillende toegang tot de contactenlijst. Via de optie om een nieuw contact te maken kunnen ook alle foto's via de optie om een foto toe te voegen aan het contact, worden bekeken. Om de truc te laten werken, moet Siri aanstaan.

Update, 13:12: In dit artikel stond aanvankelijk dat gebruikers Twitter moesten hebben en dat het niet in het Nederlands werkt. Een tweaker, jgsr, heeft inmiddels aangetoond dat het hebben van Twitter niet nodig is en dat het ook in het Nederlands werkt.

Update, 6 april: Een woordvoerder van Apple zegt tegen Washington Post dat het probleem is opgelost. Gebruikers hoeven geen software-update te downloaden, waarschijnlijk heeft Apple een wijziging doorgevoerd in de werking van Siri.

Moderatie-faq Wijzig weergave

Reacties (79)

Zojuist getest en werkt (toestel engels en siri nederlands talig)

Dus weldegelijk een major bug. Enkel siri vragen om op twitter te zoeken naar email adres gaf na een paar keer proberen een legitiem emailadres, vervolgens de optie toevoegen aan contact en hoppa, siri vraagt vervolgens netjes toegang tot fotos. Erg griezelig.

Oh kleine toevoeging, ik heb gn twitter account ingesteld, dat maakt dus niks uit. Siri kan evengoed op twitter zoeken. Zie hier mijn filmfragment, zie https://youtu.be/lUkhfhlyhqo voor de liefhebber.

Tijdelijk workaround is siri geen toegang te verlenen tot je fotos. Helaas kan siri altijd bij je contacten..

Update: bug zit in 9.3, in 9.3.1 vraagt siri om eerst het toestel te ontgrendelen.

[Reactie gewijzigd door jgsr op 5 april 2016 23:46]

Je gebruikt de home knop om siri te starten, dit ontgrendelt tevens je telefoon.
Bij mij werkt het niet als ik siri op een vergrendelde telefoon dit vraag zonder het toestel te ontgrendelen. (dan vraagt siri mij eerst het toestel te ontgrendelen)

Start ik siri met de home knop werkt het bij mij ook. (logischerwijze)

(iPhone 6S, iOS 9.3.1.)

[Reactie gewijzigd door LoneWolf op 5 april 2016 15:12]

Klopt, ik heb siri niet ingesteld om te reageren zonder de home toets. Maar dat zal ik nog testen. Feit blijft dat de telefoon vergrendelt is voor en na gebruik van siri.
Nee dat is dus niet waar. Dat was hetzelfde als een paar weken geleden. Doordat jij de home knop gebruikt met een vinger die er in staat is het toestel per direct ontgrendeld. Wat je kan proberen is hetzelfde te doen met bijvoorbeeld een niet geregistreerde vinger of de bovenkant van je nagels/knokkels.

Alleen dan kan je dit echt testen.

Edit:

Overigens heel raar. Ik word op mijn 6plus direct gevraagd om het toestel te unlocken. Nog voordat er daadwerkelijk gezocht gaat worden. Ik vermoed dus dat het indrukken van de homeknop met "de" vinger het toestel ontgrendelt evenals het gebruik van stemherkenning.

Of het is een enorme bug in specifiek de 6S.

Edit2: welke versie van iOS draai je? Ik kan met 9.3.1 geen emailadressen vinden.

[Reactie gewijzigd door supersnathan94 op 5 april 2016 21:50]

In het fragment druk ik met met wijsvinger. Ik heb enkel mijn beide duimen geregistreerd, ik ontgrendel het toestel ook niet, het is zelfs zo dat doordat ik een aantal keer met een ongeregistreerde vinger druk uiteindelijk het toestel moet ontgrendelen met mijn pincode (vingerafdrukscan werkt dan niet meer)

ios versie is 9.3, in 9.3.1 vraagt siri om eerst de iphone te ontgrendelen

[Reactie gewijzigd door jgsr op 5 april 2016 23:44]

Gebruikte jij niet je vinger om Siri aan te roepen?
Een vinger die je toevallig via touchID hebt geautoriseerd om je device te unlocken? ;)
Nee die vinger doet het niet, ik heb enkel mijn beide duimen ingesteld. Wil anders nog wel een fragment maken ?
Twitter heeft een geringe userbase? Waar komt dit van? Cijfers voor deze claim? Het overgrote deel van mijn vriendenkring zit op Twitter, niet iedereen post per s, maar ze hebben wel allemaal een account.
In Nederland zijn er op Twitter volgens Newcom 2,6 miljoen accounthouders, 0,9 miljoen dagelijkse gebruikers.

Als je aanneemt dat het aantal Twitter-gebruikers onder iPhone-gebruikers even hoog is als onder de rest van de bevolking, dan is het aantal actieve iPhone-gebruikers met Twitter rond (2,6 miljoen * 25 procent) = 650.000.

Haal daar nog af dat veel mensen Siri niet aan zullen hebben staan of op Nederlands hebben staan; niet te kwantificeren, maar ik denk dat maximaal een kwart de Engelstalige Siri aan heeft staan. Kom je grofweg uit rond 162.000 mensen in Nederland.

Tot slot moet je een iPhone 6s-serie-telefoon hebben (waarbij ik voor de zekerheid aanneem dat het ook werkt op de 6s Plus). Maximaal de helft zal een 6s hebben, al denk ik dat het eerder een kwart is. Zelfs als de helft dat heeft, is het aantal geschatte iPhones die door deze bug getroffen zijn in Nederland nog geen 100.000.

Nogmaals: allemaal aannames, dat geef ik toe. Maar hieruit leidde ik af dat in Nederland deze bug niet bijzonder veel impact heeft - en daarom heb ik dat durven opschrijven. Dit gaat echt niet om miljoenen mensen.

Edit: Inmiddels is aangetoond dat het ook werkt in het Nederlands en zonder Twitter. Dat maakt de groep potentieel kwetsbare iPhones veel groter.

[Reactie gewijzigd door arnoudwokke op 5 april 2016 13:40]

Dan moet je de tekst verduidelijken en aangeven dat de practische toepasbaarheid in Nederland vrijwel gering is.
Praat je over de practische toepasbaarheid van engelstaligen, dan is dit een major bug!
En hoezo is dit een bug? Ik weet nog niet of dit allemaal wel te classificeren is als bug, want het lijkt gewoon om een feature te gaan die gewoon vanaf het eigen toestel wordt uitgevoerd.

Waarom worden dit soort dingen nou nooit uitgevoerd met het toestel van een ander. Siri is getraind om jouw stem te herkennen. Logisch ook dat bepaalde handelingen dan wel kunnen.. Zou iemand anders dit met jouw toestel proberen dan is de kans van slagen waarschijnlijk een stuk lager
Zover ik weet is Siri getrained om een stem te herkennen en herkent ze je dialect beter na verloop van tijd.
Als ik jou telefoonpak en roep 'he siri' weet ik zeker dat ze ook op mij reageert als ze ingesteld is om hier op te reageren.

Waarom ik het een bug noem? Omdat ik vind dat Siri op de achtergrond best bij de informatie mag om dingen voor me te regelen. Maar ik het niet logisch vind dat ze informatie van mijn telefoon toont op een gelocked scherm. Dat scherm staat niet voor niets op slot. Als ze dingen wil tonen kan ze toch een extra identificatie vragen in de vorm van een vingerafdruk.

Stel dat jou telefoon wordt gestolen. Dan kan ze dus van alles uitvoeren.

Daarnaast, als het geen bug was geweest, had ze dit ook op andere toestellen gedaan.
Als ik jou telefoonpak en roep 'he siri' weet ik zeker dat ze ook op mij reageert als ze ingesteld is om hier op te reageren.
Succes! Velen zijn jou voor gegaan en hebben gefaald. Homeknop indrukken werkt overigens wel gewoon ;)

Maar goed eenmaal met siri in contact kunnen er ook gewoon berichten op FB geplaatst worden vanuit het lockscreen. Is me al eens een keer overkomen. Siri is niet heilig en als je echt je privacy wil behouden dan moet je het niet gebruiken.

Het idee van een Personal Assistent is dat deze over jou persoonlijk alles weet tot in de puntjes.
Dat scherm staat niet voor niets op slot. Als ze dingen wil tonen kan ze toch een extra identificatie vragen in de vorm van een vingerafdruk.
Ja en nee. De gegevens in het filmpje (contact info) zijn ontgrendeld na de eerste keer Passwordcode invoeren. Dit is nodig voor maller ID en zodat siri ook berichten kan sturen (maar met name Caller ID). Dit is altijd al zo geweest.

Ik ben het eens dat foto's dan weer een raar iets is, maar daarom wil ik dit dan ook graag zien met een toestel dat niet van die persoon is. dan eens kijken hoe ver het gaat.
Ik denk dat jij Siri slimmer acht, dan het eigenlijk is. Dit gaat ook gewoon bij een ander werken. De stemherkenning is niet zo zeer om een individu te 'herkennen', maar om de woorden die jij uitspreekt beter te kunnen herkennen.
Ik denk dat jij Siri slimmer acht, dan het eigenlijk is. Dit gaat ook gewoon bij een ander werken. De stemherkenning is niet zo zeer om een individu te 'herkennen'
En toch ben ik de enige die "Hey Siri" kan roepen naar mijn 6 Plus. Op anderen reageert het toestel gewoon niet.
Klopt. heb het afgelopen weekend nog getest met iemand. Mijn Siri reageerde enkel op mijn stem... hoe hard de andere persoon ook trachtte 'hey Siri' te roepen. Ik geloof dat dit wel pas vanaf OS 9 het geval is.
Goed dat je dit schrijft. Mijn Siri reageert totaal niet meer op mijn stem. Wellicht is mijn stem nu anders door mijn verkoudheid/keelpijn..
Puur toeval. Niet toeval dus, zal dus wel werken met H Siri, maar doelde eigenlijk op het in het algemeen je stem kunnen herkennen.

Er is wel gespeculeerd dat Siri vanaf 9.1 een individu zou kunnen herkennen. Maar ik ben de release notes eens doorgelopen van iOS 9.x: https://support.apple.com/kb/DL1842?locale=nl_NL Maar dit is nooit van de grond gekomen.

[Reactie gewijzigd door Chrisz op 5 april 2016 11:58]

Om h Siri te laten werken, moet je dit meerde keren uitspreken waarbij het dus jou stemt leert herkennen. Dit zodat niet alle iPhones aanvliegen zodra iemand h Siri roept.
Nou dan zou het met "H Siri" misschien wel zo werken, omdat je het meerdere keren hebt moeten inspreken. Maar als je de home-knop ingedrukt houdt en om foto's vraagt, gaat hij echt je stem niet herkennen.

Iemand dit al getest? Staat in het artikel namelijk niet dat er "H Siri" geroepen moest worden of dat het met de homeknop ook mogelijk is.

Edit: Dit is overigens zo on-topic als maar zijn kan, maar toch een 0 krijgen. Goed bezig mannen die aan het beoordelen zijn!

[Reactie gewijzigd door Chrisz op 5 april 2016 15:06]

Klopt. Alleen weet ik dus niet hoe je foto's zou kunnen benaderen vanuit Siri. Anders had ik het wel even kunnen testen.

Ik weet wel dat iemand anders gewoon op jouw FB timeline kan posten door de homeknop ingedrukt te houden. Hetzelfde geldt met berichten versturen en afspraken maken in de agenda. Dus ik vermoed dat dit niet per se gerelateerd is aan siri, maar meer met awarwness over wat siri nou precies is.

[Reactie gewijzigd door supersnathan94 op 5 april 2016 12:33]

Vrees dat je wel eens ongelijk zou kunnen hebben

http://www.macrumors.com/...s-hey-siri-feature-voice/
Vrees dat je wel eens ongelijk zou kunnen hebben

http://www.macrumors.com/...s-hey-siri-feature-voice/
Lees mijn vorige reactie ;) je komt nu met speculaties, niet met feiten.
Haha mooi om dit als feature te qualificeren. Wat mij betreft is het een bug/veiligheids issue.
Het toegankelijk hebben van foto's vind ik niet echt een feature, maar contact gegevens zijn al sinds jaar en dag "onbeveiligd" nadat je je toestel hebt unlocked. Anders werkt caller ID dus niet.

Dus dat is wel degelijk een feature. Wat betreft de foto's weet ik niet of dat ook opgaat voor een toestel anders dan dat van jou. Siri herkent je stem immers en dit kan gebruikt worden op dezelfde manier als Touch ID, maar dat weet ik dus niet. Het filmpje hierboven is daarin ook absoluut niet duidelijk.
Goed idee, precies dat heb ik gedaan :)
Door je uitleg kan je afleiden dat de mogelijke benadeelden gering is maar in het artikel spreek je over
Daardoor lijkt de praktische toepasbaarheid van de bypass gering, omdat het sociale medium een relatief kleine gebruikersgroep heeft
Je geeft zelf aan dat er 2,6 miljoen accounthouders zijn en dat is volgens mij niet zo klein als je bekijkt op de nederlandse bevolking.

Het gaat om de combinatie twitter-siri-iphone6s waarvan de gebruikersgroep klein is, niet van het sociaal medium
Veel aannames en geen reactie op meldingen hierboven dat het ook in Nl taal werkt.
Kortom, hoognodig een aanpassing nodig.

Daarmee lijkt het op bagatelliseren en dat is zeker met de vele miljoenen engelstalige gebruikers niet terecht. (Los van de vraag of de kennelijk onterechte stelling dat NL niet getroffen wordt klopt.)
Om de truc te laten werken, moet Siri aanstaan in het Engels. De truc lijkt niet te werken in het Nederlands.
De video is anders niet bepaald in het Engels.
Bovendien moet de gebruiker Twitter gebruiken en ingelogd staan. Daardoor lijkt de praktische toepasbaarheid van de bypass gering, omdat het sociale medium een relatief kleine gebruikersgroep heeft en niet alle iPhone-gebruikers zowel Siri als Twitter zullen gebruiken.
Dat tweede ben ik het wel mee eens, maar er zijn toch wel bijna 300 miljoen actieve twitter gebruikers.
Dat is inderdaad een stuk minder dan Facebook, maar nog steeds een stuk meer dan andere sites.
tja, en de vraag is of het onder Facebook ook niet werkt. Daar heb je ook links naar emailadressen etc.

Eigenlijk vind ik het rampzaliger dat Siri een applicatie start terwijl de telefoon gelocked is.
Dat zou ze helemaal niet mogen doen. De lock hoort het starten van alle applicaties behalve het noodnummer en informatie toch moeten blokkeren?
Nee Siri moet met een lock erop bij bepaalde zaken kunnen komen.

Als jij zegt bel Harrie, dan moet de contactlijst dus in zoverre ontsleuteld zijn dat Harrie te vinden is in je lijst. De hele contactlijst is dus beschikbaar, de agenda, al dat soort dingen die je normaal gesproken nodig kan hebben.
Hetzelfde voor als Harrie belt. Als Harrie belt op het moment dat je je iPhone opnieuw hebt opgestart en nog geen wachtwoord hebt ingevoerd zul je ook alleen zien dat nummer 06-xxxxxxxx belt ipv dat Harrie belt. Zodra je je wachtwoord hebt ingevoerd zie je natuurlijk dat Harrie belt, of je telefoon nou gelockt is of niet.
Er zit natuurlijk wel een verschil of Siri aan de achterkant bij de gegevens kan of aan de voorkant een applicatie start.
Daarnaast klinkt dit alsof er nog meer mogelijkheden zijn. Dat zou betekenen dat ik op jou gelockte telefoon gewoon allerlei mensen kan bellen. Belt ze ook als je zegt 'bel 001 900 3212121' of 'bel 0909 12345678'?
En kan ze ook emails tonen of sturen met informatie erin terwijl de telefoon is gelocked? Want dan kan ik nog wel meer backdoors bedenken vrees ik.
Nee dat kan niet, maar de tradeoff is natuurlijk dun.
Waar eindigt je gebruiksvriendelijkheid en waar begint je beveiliging, dat zal voor iedereen in dit geval net iets anders zijn.

Je kan wel een gedicteerd bericht sturen naar bekende contactpersonen bijvoorbeeld.
E-mail kan natuurlijk niet zonder te ontgrendelen, want dat staat in zijn volledigheid op de encrypted schijf.

[Reactie gewijzigd door SidewalkSuper op 5 april 2016 11:23]

Werkt probleemloos.

Siri belt alles wat je vraagt. Zal vast ergens in te stellen zijn dat het niet mag.

Een email voorlezen gaat niet, dan moet ik eerst ontgrendelen.
Dan werkt hij mogelijk ook in het Spaans/Portugees.
Enkele versies zijn uitgebreider dan onze NL versie dus kunnen inderdaad mogelijk andere talen ook werken.

Volgens mij moet alleen je wel Twitter expliciet koppelen met je iphone ipv alleen de app gebruiken (correct meif i'm wrong)
Het werkt niet als je in de privacy instellingen Siri nog geen toegang hebt gegeven tot je twitter-account.

edit: Siri vroeg eerst om unlock om te mogen zoeken in twitter. Na het vervolgens weer uitschakelen van twittertoegang zoals ik hierboven aangaf kan Siri echter wl nog steeds tweets vinden :/

[Reactie gewijzigd door josverweij op 5 april 2016 10:51]

Siri is dus een beetje als een echte vriendin. Geef je die eenmaal de rechten op je Creditcard ben je die ook gewoon voor altijd kwijt ;)
Klopt, je hoeft geen twitter account te hebben voor siri om evengoed op twitter te zoeken
Typisch ik heb zo'n iphone 6s, maar als ik aan siri vraag "Zoek op twitter naar een e-mailadres" dan zegt siri: "Je zult eerst je iphone moeten ontgrendelen."
Ik vermoed dat de telefoon wordt ontgrendelt omdat men de home button indrukt. Touch ID werkt zo snel tegenwoordig; men schrijft het af als bug.

Dit hele verhaal op een iPhone 5 met iOS 9.3.1.

[Reactie gewijzigd door Good Fella op 5 april 2016 14:08]

Ik denk het ook, de 6s herkent je vinger al binnen 1 seconden, je moet de homeknop net iets langer ingedrukt houden wil Siri starten. Ondertussen in phone al unlocked, hetzelfde eigenlijk als bij de vorige bug die gespot werd.
Niet iedereen post Twitter, maar wel veel mensen hebben een account, omdat die vereist is voor het gebruik van de app.

Maar zit Twitter op iOS dan zo diep in het systeem? En hoe zit het met die aparte beveiligingschip?

Vooral dat eerste vraag ik me af. Is dit probleem alleen bij de Twitter app?

[Reactie gewijzigd door Johan9711 op 5 april 2016 10:36]

Die aparte beveiligingschip werkt alleen als je je iPhone voor het eerst ontgrendeld nadat hij uit heeft gestaan. Anders zou Siri en notificaties niet werken als de iPhone vergrendeld is. Zelfde met een Macbook; als filevault actief is wordt de schijf ontgrendeld bij opstarten na invoeren van je password.

[Reactie gewijzigd door Whatson op 5 april 2016 10:43]

Ik had altijd de indruk dat Nederlandse gebruikers op Twitter goed zijn vertegenwoordigd? Ik heb zelf het idee dat de praktische toepasbaarheid van deze bypass door de Tweakersredactie onderschat wordt..?
Ik denk in combinatie met het feit dat de truc niet lijkt te werken met de Nederlandse Siri.
Ik heb geen iPhone dus ik voldoe al niet, maar mijn complete toestel staat alles op Engels, net als mijn PC :)
" omdat het sociale medium een relatief kleine gebruikersgroep"

332 miljoen actieve gebruiker wereldwijd noem ik niet kleine gebruikersgroep, relatief tov FB ea wellicht wel, maar toch een grote groep die impact heeft.
https://en.wikipedia.org/wiki/Twitter

[Reactie gewijzigd door DerOllie op 5 april 2016 10:35]

Relatief gezien is het een kleine gebruikersgroep in Nederland natuurlijk. Dat zijn er namelijk sws al minder dan 16 miljoen en dan moet je nog de koppeling gaan maken met een iPhone, specifiek het model 6S en dan ook nog met siri ingeschakeld op een taal anders dan het nederlands.

Het twitter account moet overigens ook nog via de iPhone zelf ingeschakeld zijn en dus niet via de App. zonder integratie werkt dit niet.

Dit zullen er dus maximaal enkele duizenden zijn
En zoals je weet is dit verhaal inmiddels volledig achterhaald en is elke taal volledig kwestbaar.
Rommelig en ondoordacht deze opzet.
Okee. Nee lees nu de update pas. Die was dus veel later pas online gezet dus nee dat wist ik niet.
Volgens mij het al gepatched want bij mij werkt het niet langer.
Hier werkt het ook niet meer. Hij vraagt om het toestel te unlocken eerst.
Eh, "omdat het sociale medium een relatief kleine gebruikersgroep heeft "...
Ik heb een hekel aan de nutteloze tweets en de cultuur die erbij hoort (voor klantenservice is het tegenwoordig verdomd snel en handig), maar om nou te zeggen dat de Twitter-app een kleine userbase heeft? Flink wat tientallen miljoenen toch?
Edit: Ik zie dat anderen precies hebben verwoord wat ik heb gedaan, maar dat uitgebreider en beter. Zie @Loller1 • 5 april 2016 10:46

[Reactie gewijzigd door SilentF0rce op 5 april 2016 11:12]

Op dit item kan niet meer gereageerd worden.



Apple iOS 10 Google Pixel Apple iPhone 7 Sony PlayStation VR AMD Radeon RX 480 4GB Battlefield 1 Google Android Nougat Watch Dogs 2

© 1998 - 2016 de Persgroep Online Services B.V. Tweakers vormt samen met o.a. Autotrack en Carsom.nl de Persgroep Online Services B.V. Hosting door True