Zeroday maakte gebruik HomeKit-apparatuur mogelijk zonder autorisatie

Apple heeft onlangs een lek gedicht waarmee het mogelijk was om HomeKit-apparatuur te besturen, zonder dat de gebruiker hiervoor autorisatie had. Hiermee was het onder andere mogelijk om slimme sloten en garagedeuren te openen.

De werking van de zeroday is uitgelegd aan 9to5Mac. De website heeft contact met Apple opgenomen, waardoor het lek gedicht kon worden alvorens het artikel werd gepubliceerd. Het probleem zat in het framework van HomeKit, niet in specifieke HomeKit-apparaten.

9to5Mac gaat niet in detail in op de werking van de zeroday, maar geeft wel aan dat hij lastig te reproduceren was. Om gebruik te kunnen maken van de kwetsbaarheid moest er minstens één iPhone of iPad met iOS 11.2 met het iCloud-account van de HomeKit-gebruiker verbonden zijn. Bij oudere iOS-versies komt het lek niet voor. Hierbij is de mogelijkheid om op afstand toegang aan gedeelde gebruikers te geven tijdelijk uitgeschakeld.

Apple heeft het lek kunnen stoppen door de mogelijkheid om op afstand toegang aan gedeelde gebruikers te geven, tijdelijk weg te halen. Deze functie wordt komende week weer toegevoegd met een software-update die het lek definitief dicht.

Het lek maakte het mogelijk om apparatuur te besturen die was verbonden met HomeKit. Dergelijke apparatuur bestaat onder andere uit slimme lampen, stopcontacten en thermostaten, maar ook uit beveiligingscamera's en slimme sloten. Hierdoor was het theoretisch mogelijk om de zeroday te gebruiken om fysiek bij een huis in te breken.

Apple heeft de laatste tijd vaker slordige fouten in zijn software laten staan. Vorige week kwam het bijvoorbeeld boven water dat een wachtwoordprompt in macOS High Sierra gemakkelijk omzeild kon worden. In oktober bleek dat het mogelijk was om het wachtwoord van een apfs-volume te tonen op de plaats van de hint. Apple heeft in beide gevallen snel een update uitgebracht die het probleem verhielp.

IT-banen

Reacties (22)

sig69 9 december 2017 01:06

Het lek is niet gedicht, ze hebben de functionaliteit uit gezet. En ze komen later met een update die de functionaliteit waar in zit waarin het opgelost is. Hadden jullie in het artikel wat mij betreft best wat duidelijker naar voren laten komen. Ja het wordt benoemd, maar het artikel begint met "Apple heeft onlangs een lek gedicht", en daarna nog een keer door "Apple heeft het lek weten te stoppen door (de hele zooi uit te zetten)". Dat is niet een lek dichten. De titel had moeten zijn: "Apple schakelt functionaliteit tijdelijk uit vanwege kwetsbaarheid" of iets dergelijks.

t link @sig69 • 9 december 2017 01:44

Ik vind een lek toch echt gedicht als hij niet meer gebruikt kan worden. of je dat nou doet door een functie uit te schakelen of niet is irrelevant, het kan niet meer gexploiteerd worden.

sig69 @t link • 9 december 2017 02:27

Dat is juist WEL relevant. Ik vind het goed dat ze uitschakelen hoor, maar Apple kan het blijkbaar verkopen als "probleem opgelost". Maar dat is gewoon een beetje te kort door de bocht.

t link @sig69 • 9 december 2017 14:28

Ik bedoel dat het irrelevant is hoe het lek gedicht is voor de claim dat het lek gedicht is. het is niet irrelevant hoe ze het hebben gedaan in het algemeen maar het maakt de statement dat ze het lek gedicht hebben niet minder waar.

MrBreaker @t link • 11 december 2017 07:14

Neem BlueBorne.

Bluetooth uit = lek gedicht?

t link @MrBreaker • 11 december 2017 10:59

niet in het bluetooth protecol zelf maar als je via een OTA update bluetooth uitschakelt op een apparaat is het lek gedicht op dat apparaat. dit is ook de reden dat ze systemen airgappen, als je iets niet gebruikt kan het ook geen lek zijn.

Arnaud @t link • 11 december 2017 11:50

De tekst "Apple heeft onlangs een lek gedicht" is gewoon fout:

* De Apple HomeKit boot heeft een lek.
* Apple heeft die boot nu uit het water gehaald en in een dok gelegd om hem makkelijk te kunnen repareren.

De boot is dus nog altijd lek. (maar dat is niet erg want niemand vaart er mee.)

t link @Arnaud • 12 december 2017 11:04

je kan security vulnerability's niet echt vergelijken met een boot, nogal een groot verschil kwa abstracties. en als je dat zou doen zou een betere vergelijking zijn dat die boot nu niet meer bestaat, want dat doet hij niet voor het apparaat (hij bestaat niet in het apparaat zijn "belevingswereld"). dus is het apparaat niet lek.

[Reactie gewijzigd door t link op 24 juli 2024 13:05]

RebelwaClue 8 december 2017 21:00

met het iCloud-account van de HomeKit-gebruiker verbonden zijn

Als dit een vereiste is, hoe is het dan zonder autorisatie ?

Donvermicelli @RebelwaClue • 8 december 2017 21:05

[...]

Als dit een vereiste is, hoe is het dan zonder autorisatie ?

Er moet gewoon één willekeurig device al verbonden zijn met het account, niet perse het device van de hacker. Hoewel er geen details worden gegeven lijkt het dat de exploit waarschijnlijk misbruik kon maken van een permission share feature zonder dat de gebruiker er toestemming voor gaf. (Maar dit is natuurlijk pure speculatie van mijn kant)

Dat verklaart ook waarom Apple momenteel die feature helemaal disabled.

R4gnax @RebelwaClue • 8 december 2017 21:13

[...]

Als dit een vereiste is, hoe is het dan zonder autorisatie ?

Het wil niet zeggen dat de exploit via toegang tot die account plaatsvindt.

De voorwaarde dat er een iCloud account aan de Homekit-gebruiker aan verbonden is, is niet gek. Waarschijnlijk staan remote acties met Homekit-aansturing namelijk globaal uit zolang er niet minsteens één iCloud account aan verbonden is.

supersnathan94

Apple

8 december 2017 21:16

Ik ben toch bang dat het goede gelaagde beveiligingsmodel wat Apple met iOS 11 heeft vervangen door alleen passcode toch iets minder goed doordacht is dan men had gehoopt. Men heeft wel een hoop complexiteit weggenomen, maar wel extra attack vectoren geintroduceerd. De laatste paar sprints lijkt het alsof er teveel gefocussed is op het behalen van de sprint goal en niet zozeer het goed focussen op bugs vermijden en testen draaien. Ik ben benieuwd wat voor OTAP straat Apple heeft voor deze frameworks.

Turbo-Puppy 9 december 2017 01:29

Komt er dus feitelijk op neer ... heb je een ipad aan je muur hangen die gebruik maakt van je gedeelde account met je iphone, dat er gebruik te maken is van dit exploit. Hetzelfde geldt voor een apple TV ?

Hier communiceren alle homekit apparaten middels de ipad of apple tv, volgens mij is dat wat hier zonder te noemen wel bedoeld wordt.

In leken taal ...account sharing kent een exploit.

Jean luc Picard 8 december 2017 20:55

Dit was al zo lang bekend, er is zelfs reclame van.
Het openen van

steve jobs garage.

SkiFan @Jean luc Picard • 8 december 2017 21:28

Deze inderdaad, blijft leuk:
https://www.youtube.com/watch?v=_CQA3X-qNgA

Verwijderd 8 december 2017 20:33

Apple heeft de laatste tijd nogal last van lekjes

bbob

Netwerk en systeembeheer

@Verwijderd • 8 december 2017 23:40

Hoe populairder een platform wordt des te aantrekkelijker het is voor hackers, c.q des te meer mensen er naar kijken of er bugs te vinden zijn.

Wat het natuurlijk wel laat zien is dat je 10x moet nadenken wat je allemaal met je smartphone wil gaan aansturen. Zijn al die zaken nu echt nodig of kun je niet gewoon slot met sleutel open draaien.

HakanX @bbob • 9 december 2017 05:41

In kunnen loggen als root zonder wachtwoord heeft niet echt met populariteit te maken, maar is een ronduit beschamende lek.

Tweaker1234 8 december 2017 20:58

Haha, het vertrouwen in security wordt zo vaak ondermijnd (niet alleen bij Apple)
Vertrouwen komt te voet en vertrekt te paard.

Op dit item kan niet meer gereageerd worden.

Lees meer

IT-banen

Reacties (22)

Sorteer op:

Weergave: