Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Zeroday maakte gebruik HomeKit-apparatuur mogelijk zonder autorisatie

Apple heeft onlangs een lek gedicht waarmee het mogelijk was om HomeKit-apparatuur te besturen, zonder dat de gebruiker hiervoor autorisatie had. Hiermee was het onder andere mogelijk om slimme sloten en garagedeuren te openen.

De werking van de zeroday is uitgelegd aan 9to5Mac. De website heeft contact met Apple opgenomen, waardoor het lek gedicht kon worden alvorens het artikel werd gepubliceerd. Het probleem zat in het framework van HomeKit, niet in specifieke HomeKit-apparaten.

9to5Mac gaat niet in detail in op de werking van de zeroday, maar geeft wel aan dat hij lastig te reproduceren was. Om gebruik te kunnen maken van de kwetsbaarheid moest er minstens één iPhone of iPad met iOS 11.2 met het iCloud-account van de HomeKit-gebruiker verbonden zijn. Bij oudere iOS-versies komt het lek niet voor. Hierbij is de mogelijkheid om op afstand toegang aan gedeelde gebruikers te geven tijdelijk uitgeschakeld.

Apple heeft het lek kunnen stoppen door de mogelijkheid om op afstand toegang aan gedeelde gebruikers te geven, tijdelijk weg te halen. Deze functie wordt komende week weer toegevoegd met een software-update die het lek definitief dicht.

Het lek maakte het mogelijk om apparatuur te besturen die was verbonden met HomeKit. Dergelijke apparatuur bestaat onder andere uit slimme lampen, stopcontacten en thermostaten, maar ook uit beveiligingscamera's en slimme sloten. Hierdoor was het theoretisch mogelijk om de zeroday te gebruiken om fysiek bij een huis in te breken.

Apple heeft de laatste tijd vaker slordige fouten in zijn software laten staan. Vorige week kwam het bijvoorbeeld boven water dat een wachtwoordprompt in macOS High Sierra gemakkelijk omzeild kon worden. In oktober bleek dat het mogelijk was om het wachtwoord van een apfs-volume te tonen op de plaats van de hint. Apple heeft in beide gevallen snel een update uitgebracht die het probleem verhielp.

Door Emile Witteman

Nieuwsposter

08-12-2017 • 20:31

22 Linkedin Google+

Submitter: AnonymousWP

Reacties (22)

Wijzig sortering
Het lek is niet gedicht, ze hebben de functionaliteit uit gezet. En ze komen later met een update die de functionaliteit waar in zit waarin het opgelost is. Hadden jullie in het artikel wat mij betreft best wat duidelijker naar voren laten komen. Ja het wordt benoemd, maar het artikel begint met "Apple heeft onlangs een lek gedicht", en daarna nog een keer door "Apple heeft het lek weten te stoppen door (de hele zooi uit te zetten)". Dat is niet een lek dichten. De titel had moeten zijn: "Apple schakelt functionaliteit tijdelijk uit vanwege kwetsbaarheid" of iets dergelijks.
Ik vind een lek toch echt gedicht als hij niet meer gebruikt kan worden. of je dat nou doet door een functie uit te schakelen of niet is irrelevant, het kan niet meer gexploiteerd worden.
Dat is juist WEL relevant. Ik vind het goed dat ze uitschakelen hoor, maar Apple kan het blijkbaar verkopen als "probleem opgelost". Maar dat is gewoon een beetje te kort door de bocht.
Ik bedoel dat het irrelevant is hoe het lek gedicht is voor de claim dat het lek gedicht is. het is niet irrelevant hoe ze het hebben gedaan in het algemeen maar het maakt de statement dat ze het lek gedicht hebben niet minder waar.
Neem BlueBorne.

Bluetooth uit = lek gedicht? :?
niet in het bluetooth protecol zelf maar als je via een OTA update bluetooth uitschakelt op een apparaat is het lek gedicht op dat apparaat. dit is ook de reden dat ze systemen airgappen, als je iets niet gebruikt kan het ook geen lek zijn.
De tekst "Apple heeft onlangs een lek gedicht" is gewoon fout:

* De Apple HomeKit boot heeft een lek.
* Apple heeft die boot nu uit het water gehaald en in een dok gelegd om hem makkelijk te kunnen repareren.

De boot is dus nog altijd lek. (maar dat is niet erg want niemand vaart er mee.)
je kan security vulnerability's niet echt vergelijken met een boot, nogal een groot verschil kwa abstracties. en als je dat zou doen zou een betere vergelijking zijn dat die boot nu niet meer bestaat, want dat doet hij niet voor het apparaat (hij bestaat niet in het apparaat zijn "belevingswereld"). dus is het apparaat niet lek.

[Reactie gewijzigd door t link op 12 december 2017 11:07]

met het iCloud-account van de HomeKit-gebruiker verbonden zijn
Als dit een vereiste is, hoe is het dan zonder autorisatie ?
[...]


Als dit een vereiste is, hoe is het dan zonder autorisatie ?
Er moet gewoon één willekeurig device al verbonden zijn met het account, niet perse het device van de hacker. Hoewel er geen details worden gegeven lijkt het dat de exploit waarschijnlijk misbruik kon maken van een permission share feature zonder dat de gebruiker er toestemming voor gaf. (Maar dit is natuurlijk pure speculatie van mijn kant)

Dat verklaart ook waarom Apple momenteel die feature helemaal disabled.
[...]


Als dit een vereiste is, hoe is het dan zonder autorisatie ?
Het wil niet zeggen dat de exploit via toegang tot die account plaatsvindt.

De voorwaarde dat er een iCloud account aan de Homekit-gebruiker aan verbonden is, is niet gek. Waarschijnlijk staan remote acties met Homekit-aansturing namelijk globaal uit zolang er niet minsteens één iCloud account aan verbonden is.
Ik ben toch bang dat het goede gelaagde beveiligingsmodel wat Apple met iOS 11 heeft vervangen door alleen passcode toch iets minder goed doordacht is dan men had gehoopt. Men heeft wel een hoop complexiteit weggenomen, maar wel extra attack vectoren geintroduceerd. De laatste paar sprints lijkt het alsof er teveel gefocussed is op het behalen van de sprint goal en niet zozeer het goed focussen op bugs vermijden en testen draaien. Ik ben benieuwd wat voor OTAP straat Apple heeft voor deze frameworks.
Komt er dus feitelijk op neer ... heb je een ipad aan je muur hangen die gebruik maakt van je gedeelde account met je iphone, dat er gebruik te maken is van dit exploit. Hetzelfde geldt voor een apple TV ?

Hier communiceren alle homekit apparaten middels de ipad of apple tv, volgens mij is dat wat hier zonder te noemen wel bedoeld wordt. :)

In leken taal ...account sharing kent een exploit.
Dit was al zo lang bekend, er is zelfs reclame van.
Het openen van :) steve jobs garage. :)
Apple heeft de laatste tijd nogal last van lekjes ;)
Hoe populairder een platform wordt des te aantrekkelijker het is voor hackers, c.q des te meer mensen er naar kijken of er bugs te vinden zijn.

Wat het natuurlijk wel laat zien is dat je 10x moet nadenken wat je allemaal met je smartphone wil gaan aansturen. Zijn al die zaken nu echt nodig of kun je niet gewoon slot met sleutel open draaien.
In kunnen loggen als root zonder wachtwoord heeft niet echt met populariteit te maken, maar is een ronduit beschamende lek.
Haha, het vertrouwen in security wordt zo vaak ondermijnd (niet alleen bij Apple)
Vertrouwen komt te voet en vertrekt te paard.

Op dit item kan niet meer gereageerd worden.


Apple iPhone XS HTC U12+ dual sim LG W7 Google Pixel 3 XL OnePlus 6 Battlefield V Samsung Galaxy S10 Google Pixel 3

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V.
Alle rechten voorbehouden © 1998 - 2018 Hosting door True