Apple dicht beveiligingslek in HomeKit

Apple heeft een beveiligingslek in HomeKit gedicht. Het lek maakte het mogelijk om HomeKit-apparatuur te besturen zonder dat de gebruiker hiervoor autorisatie had. Hiermee was het onder andere mogelijk om slimme sloten en garagedeuren te openen.

In eerste instantie schakelde Apple functionaliteit van HomeKit uit om te voorkomen dat aanvallers misbruik zouden kunnen maken van het lek. Daardoor konden gebruikers tijdelijk niet op afstand toegang geven aan gedeelde gebruikers. Nu is er met het beschikbaar komen van iOS 11.2.1 en tvOS 11.2.1 een echte fix voor het lek. De fix zorgt voor een betere inputvalidatie, waardoor het lek niet langer aanwezig is.

Het probleem zat in het framework van HomeKit, niet in specifieke HomeKit-apparaten. Om gebruik te kunnen maken van de kwetsbaarheid moest er minstens één iPhone of iPad met iOS 11.2 met het iCloud-account van de HomeKit-gebruiker verbonden zijn. Bij oudere iOS-versies komt het lek niet voor. Hierbij is de mogelijkheid om op afstand toegang aan gedeelde gebruikers te geven tijdelijk uitgeschakeld.

Het lek maakte het mogelijk om apparatuur te besturen die was verbonden met HomeKit. Dergelijke apparatuur bestaat onder andere uit slimme lampen, stopcontacten en thermostaten, maar ook uit beveiligingscamera's en slimme sloten. Hierdoor was het theoretisch mogelijk om de zeroday te gebruiken om fysiek bij een huis in te breken.

Reacties (25)

Psycho_Mantis 14 december 2017 14:52

Vandaar het dus al een paar dagen niet werkte. Jammer dat Apple dat niet even communiceert.

En verder: Om deze reden zou ik dus liever geen slim slot hebben. Verlichting kan je niet echt wat boeiends mee behalve irritatie opwekken.

Aaargh! @Psycho_Mantis • 14 december 2017 15:11

Vandaar het dus al een paar dagen niet werkte. Jammer dat Apple dat niet even communiceert.

Dit bericht heeft op vrijwel elke grote Mac nieuws site gestaan (MacRumors, AppleInsider, 9to5mac, en nog een hele rij meer).

Crp @Aaargh! • 14 december 2017 15:24

En tweakers

nieuws: Zeroday maakte gebruik HomeKit-apparatuur mogelijk zonder autorisatie

Apple heeft het lek kunnen stoppen door de mogelijkheid om op afstand toegang aan gedeelde gebruikers te geven, tijdelijk weg te halen. Deze functie wordt komende week weer toegevoegd met een software-update die het lek definitief dicht.

[Reactie gewijzigd door Crp op 23 juli 2024 23:27]

xoniq @Crp • 14 december 2017 16:25

Jij citeert het huidige bericht, dit is een eerder bericht van 8 december over deze issue:

nieuws: Zeroday maakte gebruik HomeKit-apparatuur mogelijk zonder autorisatie

Crp @xoniq • 14 december 2017 17:01

Excuus de link was van het huidige bericht. De citaat kwam wel uit het eerdere bericht. Aangepast

rickie19 @Psycho_Mantis • 14 december 2017 15:06

De reden van het niet communiceren is volgens mij puur zodat het niet groot naar buiten komt totdat er een fix is. Iets wat mij in deze situatie wel wenselijk lijkt...

Verwijderd @Psycho_Mantis • 14 december 2017 17:02

Doen ze bewust, ze communiceren (sinds kort) een dag of korter voordat ze de patch uit rollen, lijkt het alsof ze snel reageren. (kijk maar naar hoe ze zich gedroegen rond dat root inlog probleem)

renedis 14 december 2017 14:48

Even Apeldoorn bellen:
https://www.youtube.com/watch?v=_CQA3X-qNgA

[Reactie gewijzigd door renedis op 23 juli 2024 23:27]

WhatsappHack

Apple

14 december 2017 14:48

https://youtube.com/watch?v=_CQA3X-qNgA

Mandatory linkje in deze context.

-edit- ninja’d! Renedis was me net voor

Anyway, fijn dat ze het lek gedicht hebben.

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 23:27]

Verwijderd 14 december 2017 15:32

Koop je een iPhone X van 1159 euro en een slimme thermostaat van 199 euro, werkt het nog niet. En communicatie richting de klant gebeurd ook niet. Op z'n minst had ik op mijn telefoon een bericht verwacht van let op je kunt de verwarming niet meer uitzetten als je niet thuis bent.

Ruw ER 14 december 2017 16:07

iOS 11 is wel echt een drama zeg. Er is iedere week wel een patch nodig. Erg fijn dat ze het patchen natuurlijk, maar erg knullig is het allemaal wel.

Dr.Jake @Ruw ER • 14 december 2017 23:28

"Dat zeg ik, GA(M)Ma(ar) (naar IOS 12)...

Dr.Jake 14 december 2017 15:18

Zo langzaam ben ik bezord dat ik mijn net nieuwe ipad pro 12'9 heb geupdate naar IOS 11.x.

Gelukkig nog mijn iphone 7 nog niet. Misschien wacht ik wel voor dat toestel op IOS 12.x.

[Reactie gewijzigd door Dr.Jake op 23 juli 2024 23:27]

SOTD @Dr.Jake • 14 december 2017 17:30

Goed idee. Op mijn Pro werkt alles goed, en als mijn iPhone 7 terug kon naar IOS10 had ik dat gedaan, er zit niks in IOS11 wat ik nuttig vind en er zitten alleen maar bugs bugs en nog eens bugs in. Zoals die stomme klok dat sporadisch verdwijnt en pas weer terugkomt bij herstart (draag geen horloge).

Carlos0_0

Apple

14 december 2017 15:41

Deze update sla ik wel over ik heb toch niks aan homekit, er werkt bij mij helemaal niks in huis met de mobiel(Dus geen lampen, kachel etc).

xoniq @Carlos0_0 • 14 december 2017 16:26

Daarvoor gebruik ik HomeBridge. (Raspberry Pi) die zorgt dat mijn cheap-ass slimme lampen worden gezien als HomeKit apparaten. Dus ook mijn Action RF schakelaars.

Carlos0_0

Apple

@xoniq • 14 december 2017 16:55

Dat kan ook maar ik hoef geen smart lampen/thermostaat etc, Zulke dingen komen bij mij niet aan het internet(vind ik nergens voor nodig).

A64_Luuk @Nibbz • 14 december 2017 17:36

Waarom? Mogen wij sommige dingen niet gewoon zinloos vinden? Alles is hier LED hoor, dat zeker, maar ‘t werkt gewoon met lichtschakelaars. Ik ben er niet pertinent op tegen maar 1. ik vind het nog te duur voor 2. te weinig toegevoegde waarde en 3. het is overduidelijk nog niet veilig genoeg. Er zijn al zat dingen die slecht onderhouden en lek als een mandje aan het web hangen (denk aan de gemiddelde router bijvoorbeeld) zonder dat een lampenfabrikant zijn ICT onkundigheid wil demonstreren. Dat m’n lampen gehackt kunnen worden is irritant maar niet erg problematisch. Op het moment dat ook voordeuren en camera’s eraan hangen wordt het gewoon vervelend.

xoniq @A64_Luuk • 14 december 2017 18:09

Daarom hangen de apparaten ook niet direct aan het internet, maar worden ze in m'n huis bedient door Domoticz. Enkel HomeKit kan er op afstand bij. Daarnaast stel ik dan ook vanaf m'n telefoon timers in, mocht de garage verlichting of die van het hok nog aan staan, gaan ze automatisch om 1 uur uit. Heb in de garage gewoon TL buizen, wil daar niet de volgende dag achter komen dat 't nog aan staat. Woonkamer verlichting gaat automatisch aan wanneer het schermerig wordt, vond ik ook onnodig, maar vind 't toch best handig, heb 't niet eens door dat de lampen aan gaan, is toch best relaxed. Thermostaat past zich ook aan als ik langer van huis ben, en merk, het niet, weg uit een warm huis, terug in een warm huis, prima. Maar ieders eigen.

TheSiemNL 14 december 2017 15:03

In plaats van design op #1 te zetten zouden ze wat meer aandacht aan beveiliging moeten geven. Het gaat niet echt goed wat dat betreft met Apple.

BikkelZ @TheSiemNL • 14 december 2017 16:27

Het probleem is de jaarlijkse cyclus. Het aantal features wat uiteindelijk niet in 11.0 zat is groot en met 11.2 werkt nog steeds niet alles. Daar bovenop dat 11.2 qua stabiliteit pas een beetje mee kan.

iOS kan beter de punt versies wat belangrijker maken en wat minder vaak een hele uitbrengen. Een grote wijziging gebeurt maar een keer per vijf jaar of zo, waar dit er een van was.

jpsch @jabwd • 14 december 2017 15:28

Als je de verkeerde, te weinig of te veel developers hebt komt dit toch ook door verkeerd management.
Zou hoogstens korte situatie moeten zijn.

Sandor_Clegane 14 december 2017 15:07

Is ook wel mooi, heb je ineens Oleg als concierge voor je huis.

Op dit item kan niet meer gereageerd worden.

Lees meer

Reacties (25)

Sorteer op:

Weergave: