Apple lost Siri-kwetsbaarheid op die toegang tot contacten en foto's gaf

Apple zegt een patch te hebben doorgevoerd waarmee de kwetsbaarheid die het mogelijk maakte om vanaf een vergrendelde iPhone toegang te krijgen tot foto's en contacten is opgelost. Er is geen software-update nodig, waarschijnlijk heeft Apple de code van Siri aangepast.

Een woordvoerder van Apple heeft de oplossing tegenover The Washington Post bevestigd. In de loop van dinsdagmiddag Nederlandse tijd is de exploit onschadelijk gemaakt. Technische details over de oplossing geeft Apple niet, maar gezien er geen software-update gedownload hoeft te worden, is het aannemelijk dat er een wijziging is doorgevoerd in de werking van Siri.

Dinsdagochtend werd de exploit ontdekt in iOS 9.3.1 op de iPhone 6s. Het was mogelijk om via Siri op het lockscreen bij foto's en contacten te komen, door aan Siri te vragen om Twitter te doorzoeken op tweets met een e-mailadres. Ook zonder de iPhone te ontgrendelen toonde Siri dan tweets met daarin e-mailadressen. Door op zo'n adres te klikken en dit toe te voegen aan een bestaand contact, was het mogelijk om de contactenlijst te benaderen. Toegang tot foto's kon verkregen worden door een nieuw contact te maken en daar een foto aan toe te voegen.

Reacties (68)

THM0 6 april 2016 12:11

Apart dat Apple via wijzigingen in de Siri backend blijkbaar toegang kan geven tot een toestel...

NotSoSteady @THM0 • 6 april 2016 12:12

Waarom is dat apart? De antwoorden worden online doorgegeven, dus je kan de werking ook aanpassen.

THM0 @NotSoSteady • 6 april 2016 12:16

Ik zou verwachten dat het security model en de bijbehorende code op het toestel controleert welke apps geopend kunnen worden met Siri terwijl het toestel gelocked is. Maar blijkbaar regelt Apple dat in de backend en kan het daar dus ook aangepast worden.

Zer0 @THM0 • 6 april 2016 12:32

De Siri "backend" is een frontend voor de apps. Zodra jij Siri een opdracht geeft wordt dit eerst door de backend in een voor de telefoon begrijpbare opdracht omgezet, en dan kan de security van de telefoon pas ingrijpen.
Natuurlijk had Apple dit via een update in de security op de telefoon aan kunnen passen, en wellicht doen ze dit bij een volgende update, maar door het in de "backend" al te blokkeren kan men het (voorlopig) zonder update van het OS doen.

Maurits van Baerle @THM0 • 6 april 2016 12:23

Er moet read-only toegang zijn tot de contactendatabase anders zou je niet kunnen zien wie je belt als het toestel gelockt is. Herstart een iPhone maar eens zonder in te loggen, dan zul je zien dat van iedereen die je belt alleen het nummer zichtbaar is en geen naam omdat de contacten nog niet gedecrypt zijn.

Wat Apple gedaan zal hebben is de specifiek zoekfunctie middels Siri die gebruikt werd terwijl het toestel gelockt is verwijderen. Dat zal nu alleen nog kunnen met een ingelogd toestel.

geerttttt @Maurits van Baerle • 6 april 2016 12:42

Wel interresant voor mitm aanvallen. Als je het voor elkaar zou kunnen krijgen om een apple verbinding te faken tussen een telefoon en de Apple HQ dan kun je dus deze bug weer 'aanwezig' maken, en wellicht wel meer.

Wie heeft er nog een nand backup nodig hiermee, FBI?...

DCK @geerttttt • 6 april 2016 13:09

Als je het voor elkaar zou kunnen krijgen om een apple verbinding te faken tussen een telefoon en de Apple HQ dan kun je dus deze bug weer 'aanwezig' maken

Wat je zegt is hier waarschijnlijk waar. Let wel op dat een verbinding faken tussen iDevice en Apple een erg lastige opgave is. Je moet dan ervoor zorgen dat je de private key van Apple hebt, of de key-validatie van het iDevice aan zien te passen (en die validatie wordt weer deels met de secure enclave gedaan). Erg moeilijke aanval voor wat contacten en foto's. Bovendien, als je de iPhone zo ver kan krijgen dat je Apple's key kunt omzeilen, kun je nog veel meer andere en verdergaande zaken.

, en wellicht meer.

Dit is heel onwaarschijnlijk. Als je iPhone gelockt is, encrypt deze zo ongeveer alles wat mogelijk is op je telefoon. Het enige wat gedecrypt is zijn de zaken die op het lockscreen worden gebruikt: contacten, foto's en notificaties. Voor die beperkte lijst items moet Apple dus toegangscontrole invoeren, die dus in het geval van deze en eerder exploits omzeilbaar is. Maar zelfs als je die toegangscontrole omzeilt kun je niet bij gegevens die encrypted zijn. Het aanvalsoppervlak is dus niet groter dan dit.

Menesis @DCK • 6 april 2016 15:02

Als je iPhone gelockt is, encrypt deze zo ongeveer alles wat mogelijk is op je telefoon.

Dat kan niet kloppen als je bedenkt om wat voor bug het ging:
De bug was "vanaf een vergrendelde iPhone toegang krijgen tot foto's en contacten"
Dat betekent dus dat die zaken blijkbaar toch niet ge-encrypt waren zijn! edit: of dat die cryptering er blijkbaar niet toe doet.

[Reactie gewijzigd door Menesis op 11 augustus 2024 13:20]

Mic2000 @THM0 • 6 april 2016 13:01

Dus als je een siri server kan nabootsen (ala man in the middle), zou je toegang tot foto's en contacten kunnen krijgen...

EraYaN @Mic2000 • 6 april 2016 13:48

Maar dan heb je al zoveel toegang tot of het toestel of de Apple server gehad (private key) dat het helemaal niets meer uitmaakt.

NotSoSteady @THM0 • 6 april 2016 12:21

Ja, want ik zit er op te wachten om nog een update te installeren.

fantafriday @THM0 • 6 april 2016 13:06

"ik zou verwachten" ja daar gaat het altijd fout.

BoringDay @NotSoSteady • 6 april 2016 19:14

Omdat het probleem niet is opgelost? De beveiliging hoort op het niveau van het OS te zitten en niet in Siri.

NotSoSteady @BoringDay • 6 april 2016 19:37

Het probleem is wel opgelost.

BoringDay @NotSoSteady • 6 april 2016 23:06

In welke opzichte?

Wanneer Apple wijzigingen doorvoert aan Siri op de server mag dit geheel geen invloed hebben op de beveiliging van de iPhone. Nu is er sprake van een afhankelijkheid die er niet hoort te zijn.

NotSoSteady @BoringDay • 7 april 2016 00:46

Wie zegt dat? Jij? Het is een online dienst die in staat is om bepaalde taken op je telefoon uit te voeren en daarvoor zijn inderdaad de nodige permissies nodig. Mensen die overal bang voor zijn kunnen daarom beter geen gebruik maken van diensten als Siri.

BoringDay @NotSoSteady • 7 april 2016 09:47

Omdat een online dienst niet mag bepalen of die bij je gegevens mag op je mobiel. De permissies die je toekent of het is toegestaan bepaal je vanuit het OS zelf. Om niet gebruik te maken van Siri is een erg slap argument om iets goed te praten wat niet correct is.

NotSoSteady @BoringDay • 7 april 2016 10:02

Dat is ook gewoon mogelijk, je kan Twitter voor Siri gewoon uitzetten op je iPhone. Ze hebben alleen een extra regel toegevoegd voor de gebruikers die de feature hebben geactiveerd.

http://i.imgur.com/ynaq96V.png

BoringDay @NotSoSteady • 7 april 2016 10:23

Ja maar dit zijn geen oplossingen, maar gewoon plakwerk met pleisters. Daarbij laat ik het ook maar.

NotSoSteady @BoringDay • 7 april 2016 10:54

Eerst claim je dat Apple zich op deze manier tot alle diensten toegang kan verschaffen, laat ik je zien dat alles gewoon op het toestel is uit te schakelen en dan is het plakwerk?

BoringDay @NotSoSteady • 7 april 2016 11:21

Nee ik claim dat niet, verder ga ik er ook niet meer op in.

NotSoSteady @BoringDay • 7 april 2016 11:22

Verstandig.

nms2003 @NotSoSteady • 6 april 2016 12:59

Het is in die zin apart dat als ze dit niet clientside fixen ze elk moment serverside deze exploit beschikbaar kunnen maken...

oohh @THM0 • 6 april 2016 12:14

Apple heeft er waarschijnlijk gewoon voor gezorgd dat het Siri commando waarmee je een nieuw contact aanmaakt, niet meer werkt als je iPhone niet ontgrendeld is. Het is dus gewoon een server side fix, in plaats van het fysiek fixen van het toestel zelf.

Blokker_1999

Apple

@oohh • 6 april 2016 13:54

maar wat belet Apple dan om Siri bjv. toegang te geven tot je mailbox of smsen zonder ontgrendellen?

Dutchdeveloper @THM0 • 6 april 2016 12:15

De bug was dat als je via twitter naar een persoon zoekt en die dan toevoegt aan de contacten je in de contacten app kwam, waarschijnlijk is die functie eruit gesloopt

NotSoSteady @Dutchdeveloper • 6 april 2016 12:22

Nee is niet gesloopt, wanneer ik mijn iPhone 6s vraag om op Twitter te zoeken moeten ik eerst het toestel ontgrendelen, dat is het verschil.

M8T66 @THM0 • 6 april 2016 14:40

Alleen de resultaten die Siri teruggeeft zijn aangepast. De code op het toestel is niet aangepast.

killer2 @THM0 • 6 april 2016 12:15

Waarom is dat apart, je kan toestellen al heel lang op afstand (backend) besturen als het om rechten gaat. denk maar aan de Blackberry

Plague 6 april 2016 12:35

Geeft een grappig inkijkje in de werking/beveiliging van Siri. Schijnbaar heeft Siri dus allerlei rechten op het toestel zelf, maar hangt het van de reactie af of ze iets mag. Dat zet de deur natuurlijk wagenwijd open voor man-in-the-middle aanvallen: als je Siri op één of andere manier weet te 'onderscheppen' en haar reactie aanpast naar iets waarvoor je normaal moet ontgrendelen, heb je dus via Siri toegang.

Laten we hopen dat dit de quick-fix is van Apple en de feitelijke beveiliging iets sterker behoort te zijn dan bovenstaand voorbeeld en in een volgende software fix wordt meegenomen.

biglia @Plague • 6 april 2016 13:04

Mja, verloopt het verkeer van je toestel naar de Apple servers dan niet versleuteld? Kan je het dan wel aanpassen?

Plague @biglia • 6 april 2016 13:29

Zeker, maar wie zegt dat je de servers niet kunt aanpassen, SSL-certificaten kunt vervalsen, versleuteling kraken, noem maar op?
Veel software wordt op die manier ook 'gekraakt': door het aanpassen van een activatieserver middels een andere DNS-entry in je hosts-file, wordt de officiële activatieserver omzeild en aangepast naar één die ongeacht de sleutel een licensiegoedkeuring stuurt.

EraYaN @Plague • 6 april 2016 13:45

Maar dan moet je al toegang hebben tot de telefoon om een CA-cert toe te voegen. Dan maakt het allemaal toch niet meer uit.

SED @EraYaN • 6 april 2016 14:09

Juist in Nederland weten we dat een CA wel eens gemakkelijk verkrijgbaar is.
https://www.security.nl/p...j+DigiNotar-hack+gestolen

Daarnaast zijn er wel vaker probleem CA's in omloop. ( denk aan het gestolen Sony certificaat,) Het blijft dus vooralsnog een reele dreiging waar je op voorbereid moet zijn.
Ander voorbeeld, toch geen kleine jongens certificaten.

Enige tijd geleden is bij een van de bij Comodo aangesloten bedrijven een aantal SSL certificaten bemachtigd voor de volgende domeinen:

- login.live.com
- mail.google.com
- google.com
- login.yahoo.com
- login.skype.com
- addons.mozilla.org

Dit betekent dat er voor deze sites makkelijk 'spoof' domeinen kunnen worden opgezet die zich voordoen als legitiem: ze zullen boven in de browserbalk groen licht geven ten teken dat er een legitiem SSL certificaat voor deze site gebruikt wordt.

the_stickie @SED • 6 april 2016 14:27

Mja... Het zou zomaar kunnen (moeten?) dat Siri gebruik maakt van certificate pinning en dus niet zomaar elk certificaat (valid, signed,...) voor apple.com aanvaardt, maar enkel die met gekende thumbprints/public keys.

johnkeates @EraYaN • 6 april 2016 15:00

Nee, de certificaten zijn gepinned.

Blokker_1999

Apple

@Plague • 6 april 2016 13:49

Je moet de telefoon al zover krijgen om enerzijds een foutieve server te gebruiken en anderzijds een CA in de certificate store te installeren. Als je dat kan dan heb je deze hack al niet meer nodig.

En dan ga je er ook nog eens van uit dat er geen andere beveiliging word toegepast.

timicool @biglia • 6 april 2016 13:32

Gewoon een kwestie van decrypten....

Lijkt me inderdaad best mogelijk

Gody @Plague • 6 april 2016 16:10

Voorheen zijn er hacks geweest waarmee mensen lokaal siri calls/siri server responses afvingen en gebruikten om zelf logica aan te sturen. http://www.yourdailymac.n...of-your-heater-with-siri/

Of het nog steeds kan is de vraag. Ik ben het echter met je eens dat het klinkt als een mogelijk probleem. Het zou kunnen dat siri calls informatie bevatten over of een gebruiker wel niet geauthenticeerd is en ze dat nu gebruiken om het gedrag te beïnvloeden.

_{Voor mensen die minder bekend zijn met de werking van Siri: Siri stuurt een audio opname naar Apple servers, die zetten het om naar tekst en laten de iPhone daar lokaal vervolgens iets mee doen.}

NewNick 6 april 2016 12:18

Maar als Siri bij je contacten en foto's kan zonder dat je je iPhone hoeft te ontgrendelen, dan worden deze gegevens dus zonder encryptie opgeslagen?

Xudonax @NewNick • 6 april 2016 12:26

De encryptie word al "ontsleutelt" op het moment dat je toestel start. Vanaf dat moment zwerft de sleutel ergens rond in het geheugen van je iPhone, omdat je anders helemaal niets zou kunnen. Dit is ook zo met de full disk encryptie van bijvoorbeeld OS X, Windows en Linux.,

DCK @Xudonax • 6 april 2016 13:02

Wat je zegt geldt alleen voor alle iDevices zonder secure enclave, zoals de inmiddels beruchte iPhone 5C. Op iDevices met secure enclave staan de encryption sleutels in een beschermd stukje geheugen van de CPU dat niet benaderbaar is voor gewone applicaties of een forensisch onderzoeker met eindige tijd en budget.

Alle iDevices met een Apple A7 of hoger hebben een dergelijke secure enclave (alle iPhones sinds de 5S (maar dus niet de 5C) en alle iPads sinds de Air 1 en mini 2).

Xudonax @DCK • 6 april 2016 13:06

Dan nog is het geheugen op dat moment reeds ontsleuteld. Enkel is er geen toegang tot het device vanwege de vergrendeling. Vergelijkbaar met het vergrendelen van je OS X of Windows device.

DCK @Xudonax • 6 april 2016 13:12

Onjuist. iPhones versleutelen wel (het grootste gedeelte van) het geheugen als ze gelockt zijn. Vergrendeling op iPhones werkt echt anders dan op OS X, Windows, en Android.

Zezura @DCK • 6 april 2016 15:13

IOS heeft naar mijn weten 3 verschillende beveiligings niveaus voor data.
1 nooit versleuteld.
2. ontgrendeld nadat user inlogt en ontgrendeld laten tot 48 uur of reboot.
3. En alleen wanneer ontgrendeld als telefoon ontgrendeld weer versleuteld.

Sfynx @Xudonax • 6 april 2016 12:42

Dit is ook zo met de full disk encryptie van bijvoorbeeld OS X, Windows en Linux.,

Bij full disk encryption op desktop computers zwerft er helemaal niet ergens een sleutel rond voordat je je wachtwoord hebt ingevoerd. Je hebt een onversleutelde bootloader die je om je wachtwoord vraagt en vanaf dat moment kan je bij de rest van de schijf. Eigenlijk wordt dus een partitie versleuteld en niet de hele schijf.
Er is daar dan ook helemaal geen noodzaak om bij informatie op het versleutelde volume te kunnen nog voordat het wachtwoord is ingevoerd.

Xudonax @Sfynx • 6 april 2016 12:53

De encryptie sleutel word opgehaald op het moment dat je start, en als je dan je PC vergrendeld dan blijft deze sleutel ergens in het geheugen (of de TPM) hangen.

JackBol @Xudonax • 6 april 2016 13:55

Nee, pas als je de eerste keer inlogt (de key is een afgeleide van de pincode).
Daarom kan je na een reboot van je iPhone de eerste keer niet met je touchid inloggen.

watercoolertje

Smartphones
Apple iPhone
Apple iPhone 6s
Apple

@JackBol • 6 april 2016 14:18

Nee, pas als je de eerste keer inlogt

Als je iets vergrendeld dan moet het eerst ontgrendeld zijn, er is in zijn voorbeeld dus al ingelogd geweest...

en als je dan je PC vergrendeld dan blijft deze sleutel ergens in het geheugen

[Reactie gewijzigd door watercoolertje op 11 augustus 2024 13:20]

Keneo @Xudonax • 6 april 2016 14:11

ik dacht dat die sleutel veilig opgeslagen werd in de secure enclave, waar hij gencrypteerd was met de pincode en met de hash van de fingerprint,
dan kan je er enkel aan als je of wel de code of de fingerprint geeft aan het toestel.

Blijkbaar was ik wat te optimistisch in mijn denken.

Zezura @Keneo • 6 april 2016 15:15

iOS is toch versleuteld in de speciale chip op de device.
Alleen het systeem gebruikt verschillende niveaus daarvoor.

EvilItSelf @NewNick • 6 april 2016 13:43

Als je je iPhone voor het laatste binnen 48 uur ontgrendeld is de passcode sleutel aanwezig in het toestel. Als je toestel over die 48 uur heen gaat niet. Die passcode sleutel wordt weggegooid. Als iOS ontwikkelaar kan software die ik geschreven ook niet meer bij data uit bijvoorbeeld de keychain.

Ik vermoed dat het hier iets mee te maken heeft. Ik kan me voorstellen dat Siri er dan ook niet bij kan.

vlaag 6 april 2016 12:19

Onder het motto dat koffiezetapparaten straks al gevaarlijk zijn, is deze aanpassing dan niet net zo makkelijk terug te draaien? Had het liever in de code-tree opgelost gezien. Krijg nu het gevoel dat ze met een verkeerde template gebruiken het zo weer ongedaan maken. (niet met opzet)

[Reactie gewijzigd door vlaag op 11 augustus 2024 13:20]

Zezura @vlaag • 6 april 2016 12:28

Nou als iemand weet hoe die de verbinding tussen Siri en apple lab aanvallen, ooh wacht op internet zijn al guides te vinden... Dan wordt het heel makkelijk om aanvals vectors te creëeren.

EraYaN @Zezura • 6 april 2016 13:52

Die werken dan weer niet helemaal zonder toegang tot het toestel, je moet dan vaak eerst een extra certificaat aan de trusted certs toevoegen. Dan kun je proberen een wifi netwerk met dezelfde sleutel en naam en mac adres te spoofen zodat de iPhone automatisch verbindt en dan zo het verkeer te onderscheppen, al moet je dan nog steeds iets tegen de TLS doen.

Zezura @EraYaN • 6 april 2016 15:09

in ieder geval is het nooit slim om zon security lek, dat ook zo groots bekend is, OTA op te lossen. Zonder wijziging in het lokaal apparaat.

THETNTBOX 6 april 2016 15:30

Als dit op een Android toestel was, dan kon je lang mee wachten voordat de update überhaupt komt.

Chip5y @THETNTBOX • 6 april 2016 16:33

In dit geval niet. Dat zou een Google Now issue zijn en dat kan via de Play Store naar elk toestel gepusht worden.

P.s. vergeet ook niet dat tegenwoordig via maandelijkse security patches (apart van het besturingssysteem) heel veel vulnerabilities opgelost worden.

[Reactie gewijzigd door Chip5y op 11 augustus 2024 13:20]

vlaag @THETNTBOX • 6 april 2016 15:48

Dan kun je altijd nog een nieuw(er) toestel kopen

THETNTBOX @vlaag • 18 april 2016 19:26

Als je je een toestel van $400,- hebt gekocht, ga je toch niet over een paar maanden of na 1 jaar (als er geen update komt) weer een nieuwe kopen? Het kan wel, maar de meeste mensen doen t niet.

SamTex 6 april 2016 14:54

https://www.youtube.com/w...lQI4lET97o4&nohtml5=False

mutley69 6 april 2016 20:30

Teveel speelgoed lijdt tot lekken - laat de gebruiker die geintegreerde rommel slopen, dan zal mijn OS terug zo klein zijn als windows 3.1 - enkel wat nodig is - wat te veel is - is te veel.

Menesis @mutley69 • 6 april 2016 22:28

Wat houdt je tegen W3.1 te gebruiken?

Menesis 6 april 2016 22:25

Toch erg opmerkelijk: mijn iPhone is XenMobile MDM device managed en de 1 van de 2 restricties is "Siri while locked Not allowed"
Die bug hadden ze dan mooi voorzien

Anoniem: 583079 @mhoogev • 6 april 2016 20:15

Nee want de iPhone5C was helemaal niet vatbaar voor dit probleem.

Op dit item kan niet meer gereageerd worden.

Apple lost Siri-kwetsbaarheid op die toegang tot contacten en foto's gaf

Lees meer

Reacties (68)

Sorteer op:

Weergave: