Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Apple dicht beveiligingslek in HomeKit

Apple heeft een beveiligingslek in HomeKit gedicht. Het lek maakte het mogelijk om HomeKit-apparatuur te besturen zonder dat de gebruiker hiervoor autorisatie had. Hiermee was het onder andere mogelijk om slimme sloten en garagedeuren te openen.

In eerste instantie schakelde Apple functionaliteit van HomeKit uit om te voorkomen dat aanvallers misbruik zouden kunnen maken van het lek. Daardoor konden gebruikers tijdelijk niet op afstand toegang geven aan gedeelde gebruikers. Nu is er met het beschikbaar komen van iOS 11.2.1 en tvOS 11.2.1 een echte fix voor het lek. De fix zorgt voor een betere inputvalidatie, waardoor het lek niet langer aanwezig is.

Het probleem zat in het framework van HomeKit, niet in specifieke HomeKit-apparaten. Om gebruik te kunnen maken van de kwetsbaarheid moest er minstens één iPhone of iPad met iOS 11.2 met het iCloud-account van de HomeKit-gebruiker verbonden zijn. Bij oudere iOS-versies komt het lek niet voor. Hierbij is de mogelijkheid om op afstand toegang aan gedeelde gebruikers te geven tijdelijk uitgeschakeld.

Het lek maakte het mogelijk om apparatuur te besturen die was verbonden met HomeKit. Dergelijke apparatuur bestaat onder andere uit slimme lampen, stopcontacten en thermostaten, maar ook uit beveiligingscamera's en slimme sloten. Hierdoor was het theoretisch mogelijk om de zeroday te gebruiken om fysiek bij een huis in te breken.

Door

Redacteur mobile

25 Linkedin Google+

Submitter: wmkuipers

Reacties (25)

Wijzig sortering
Vandaar het dus al een paar dagen niet werkte. Jammer dat Apple dat niet even communiceert.

En verder: Om deze reden zou ik dus liever geen slim slot hebben. Verlichting kan je niet echt wat boeiends mee behalve irritatie opwekken.
Vandaar het dus al een paar dagen niet werkte. Jammer dat Apple dat niet even communiceert.
Dit bericht heeft op vrijwel elke grote Mac nieuws site gestaan (MacRumors, AppleInsider, 9to5mac, en nog een hele rij meer).
En tweakers :)
nieuws: Zeroday maakte gebruik HomeKit-apparatuur mogelijk zonder autorisatie
Apple heeft het lek kunnen stoppen door de mogelijkheid om op afstand toegang aan gedeelde gebruikers te geven, tijdelijk weg te halen. Deze functie wordt komende week weer toegevoegd met een software-update die het lek definitief dicht.

[Reactie gewijzigd door Crp op 14 december 2017 17:00]

Jij citeert het huidige bericht, dit is een eerder bericht van 8 december over deze issue:

nieuws: Zeroday maakte gebruik HomeKit-apparatuur mogelijk zonder autorisatie
Excuus de link was van het huidige bericht. De citaat kwam wel uit het eerdere bericht. Aangepast :)
De reden van het niet communiceren is volgens mij puur zodat het niet groot naar buiten komt totdat er een fix is. Iets wat mij in deze situatie wel wenselijk lijkt...
Doen ze bewust, ze communiceren (sinds kort) een dag of korter voordat ze de patch uit rollen, lijkt het alsof ze snel reageren. (kijk maar naar hoe ze zich gedroegen rond dat root inlog probleem)
Even Apeldoorn bellen:
https://www.youtube.com/watch?v=_CQA3X-qNgA

[Reactie gewijzigd door renedis op 14 december 2017 14:48]

https://youtube.com/watch?v=_CQA3X-qNgA :+
Mandatory linkje in deze context. ;)

-edit- ninja’d! Renedis was me net voor :)

Anyway, fijn dat ze het lek gedicht hebben. :)

[Reactie gewijzigd door WhatsappHack op 14 december 2017 14:49]

Koop je een iPhone X van 1159 euro en een slimme thermostaat van 199 euro, werkt het nog niet. En communicatie richting de klant gebeurd ook niet. Op z'n minst had ik op mijn telefoon een bericht verwacht van let op je kunt de verwarming niet meer uitzetten als je niet thuis bent.
iOS 11 is wel echt een drama zeg. Er is iedere week wel een patch nodig. Erg fijn dat ze het patchen natuurlijk, maar erg knullig is het allemaal wel.
"Dat zeg ik, GA(M)Ma(ar) (naar IOS 12)... 8)7
Zo langzaam ben ik bezord dat ik mijn net nieuwe ipad pro 12'9 heb geupdate naar IOS 11.x. :|
Gelukkig nog mijn iphone 7 nog niet. Misschien wacht ik wel voor dat toestel op IOS 12.x. O-)

[Reactie gewijzigd door Dr.Jake op 14 december 2017 23:25]

Goed idee. Op mijn Pro werkt alles goed, en als mijn iPhone 7 terug kon naar IOS10 had ik dat gedaan, er zit niks in IOS11 wat ik nuttig vind en er zitten alleen maar bugs bugs en nog eens bugs in. Zoals die stomme klok dat sporadisch verdwijnt en pas weer terugkomt bij herstart (draag geen horloge).
Deze update sla ik wel over ik heb toch niks aan homekit, er werkt bij mij helemaal niks in huis met de mobiel(Dus geen lampen, kachel etc).
Daarvoor gebruik ik HomeBridge. (Raspberry Pi) die zorgt dat mijn cheap-ass slimme lampen worden gezien als HomeKit apparaten. Dus ook mijn Action RF schakelaars.
Dat kan ook maar ik hoef geen smart lampen/thermostaat etc, Zulke dingen komen bij mij niet aan het internet(vind ik nergens voor nodig).
Waarom? Mogen wij sommige dingen niet gewoon zinloos vinden? Alles is hier LED hoor, dat zeker, maar ‘t werkt gewoon met lichtschakelaars. Ik ben er niet pertinent op tegen maar 1. ik vind het nog te duur voor 2. te weinig toegevoegde waarde en 3. het is overduidelijk nog niet veilig genoeg. Er zijn al zat dingen die slecht onderhouden en lek als een mandje aan het web hangen (denk aan de gemiddelde router bijvoorbeeld) zonder dat een lampenfabrikant zijn ICT onkundigheid wil demonstreren. Dat m’n lampen gehackt kunnen worden is irritant maar niet erg problematisch. Op het moment dat ook voordeuren en camera’s eraan hangen wordt het gewoon vervelend.
Daarom hangen de apparaten ook niet direct aan het internet, maar worden ze in m'n huis bedient door Domoticz. Enkel HomeKit kan er op afstand bij. Daarnaast stel ik dan ook vanaf m'n telefoon timers in, mocht de garage verlichting of die van het hok nog aan staan, gaan ze automatisch om 1 uur uit. Heb in de garage gewoon TL buizen, wil daar niet de volgende dag achter komen dat 't nog aan staat. Woonkamer verlichting gaat automatisch aan wanneer het schermerig wordt, vond ik ook onnodig, maar vind 't toch best handig, heb 't niet eens door dat de lampen aan gaan, is toch best relaxed. Thermostaat past zich ook aan als ik langer van huis ben, en merk, het niet, weg uit een warm huis, terug in een warm huis, prima. Maar ieders eigen.
In plaats van design op #1 te zetten zouden ze wat meer aandacht aan beveiliging moeten geven. Het gaat niet echt goed wat dat betreft met Apple.
Het probleem is de jaarlijkse cyclus. Het aantal features wat uiteindelijk niet in 11.0 zat is groot en met 11.2 werkt nog steeds niet alles. Daar bovenop dat 11.2 qua stabiliteit pas een beetje mee kan.

iOS kan beter de punt versies wat belangrijker maken en wat minder vaak een hele uitbrengen. Een grote wijziging gebeurt maar een keer per vijf jaar of zo, waar dit er een van was.
Als je de verkeerde, te weinig of te veel developers hebt komt dit toch ook door verkeerd management.
Zou hoogstens korte situatie moeten zijn.
Is ook wel mooi, heb je ineens Oleg als concierge voor je huis.

Op dit item kan niet meer gereageerd worden.


Call of Duty: Black Ops 4 HTC U12+ dual sim LG W7 Samsung Galaxy S9 Dual Sim OnePlus 6 Battlefield V Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*