Cookies op Tweakers

Tweakers maakt gebruik van cookies, onder andere om de website te analyseren, het gebruiksgemak te vergroten en advertenties te tonen. Door gebruik te maken van deze website, of door op 'Ga verder' te klikken, geef je toestemming voor het gebruik van cookies. Wil je meer informatie over cookies en hoe ze worden gebruikt, bekijk dan ons cookiebeleid.

Meer informatie

Ontwikkelaar: update iOS en watchOS maakte HomeKit onveiliger

De vinder van de bug in HomeKit die het mogelijk maakte om apparaten op afstand over te nemen, zegt dat een update van Apple na de melding van de bug het probleem alleen verergerde. Apple bracht onlangs een fix uit.

Waar een kwaadwillende onder iOS 11.1 en watchOS 4.1 maar moest hopen dat het slachtoffer een Apple Watch in bezit had, bleek dat onder iOS 11.2 niet langer nodig. Na die update was een iPhone namelijk voldoende om de unieke codes in handen te krijgen om zijn of haar HomeKit-apparaten te besturen, zo schrijft Khaos Tian op Medium.

Onder iOS 11.2 checkte de 'home manager' niet of de zender van een bericht  de eigenaar van de HomeKit-apparaten is, maar stuurde gelijk de codes om de apparaten te bedienen naar een kwaadwillende toe.

Voordat Apple vorige week een fix uitrolde, schakelde het de functie om apparaten op afstand te bedienen uit om misbruik van het lek te voorkomen. Tian schrijft verder dat hij het lek eind oktober meldde. Toen er maar geen fix kwam, heeft hij het in samenwerking met 9to5Mac naar buiten gebracht, waarna Apple snel in actie kwam en binnen twee dagen de functie uitschakelde.

Door

Redacteur mobile

46 Linkedin Google+

Reacties (46)

Wijzig sortering
Ze zullen idd goed moeten evalueren wat er de laatste maanden fout is gegaan mbt software(updates), ze hebben veel steekjes laten vallen...
Doen ze update alleen als het veel pers aandacht krijgt van de pers/community? 8)7

[Reactie gewijzigd door IM_YOUR_MAMA op 20 december 2017 21:03]

Nee, wss dankzij responsible disclosure werd dit juist pas een behoorlijke tijd na de release van iOS 11.1.2, die het probleem fixt, de media ingeslingerd. ;)
Apple laat behoorlijk wat steekjes vallen de laatste tijd
Ach nee joh, dit is altijd al het geval geweest. Voor de mensen die al wat langer meedraaien in de Apple wereld (lees: van voor de iPhone) weten dat Apple wel vaker rare en vervelende bugs had.
Feit is nu dat:
- Door de exposure van Apple dit eerder in de media komt
- Door het toegenomen aantal gebruikers dit soort bugs sneller gevonden worden

In beide gevallen is dit dus een winst voor de Apple gebruikers, want er wordt eerder actie op ondernomen dan in de begin jaren 2000 het geval was.

Maar ik wordt een beetje moe vd narrative ‘Apple software gaat qua kwaliteit achteruit’, waar dit naar mijn idee echt niet veranderd is de afgelopen 18 jaar...
Herinner je Xcode 3.2 en de standalone interface builder? Werkten beide perfect. Probeer in Xcode9 maar IB te gebruiken zonder een kruk en een touw te kopen om er maar een einde aan te maken.

Ze brengen veel verbeteringen aan en voegen veel nieuwe functies toe; maar ik zou echt wel wat meer bugfix releases willen zien van alle grote producten van apple.
Apple gaat wel degelijk keihard achteruit in kwaliteit. Kijk op youtube naar Apple gebruikers, lees de Apple fora, lees tech sites. Allemaal roepen ze dat Apple keihard aan het inleveren is op kwaliteit sinds Jobs dood is. IOS 11 had 6 fixes/updates in 5 weken. Ongehoord.
Ja het is de laatste tijd wat meer dan anders. Maar deze ene bug heeft nu wel al zijn derde of vierde tweakers artikel te pakken. Voor degene die niet lezen of goed snappen dat dit allemaal over hetzelfde gaat is de beeldvorming natuurlijk sowieso al verpest.
Maar als Apple snel een goede fix had uitgebracht was het bij 1 a 2 artikelen gebleven, daar draagt een bedrijf zelf aan bij...
Kan mij idd tijden herinneren dat ze het beter voor elkaar hadden. Ik vraag mij dan ook af in hoeverre dit komt doordat ze meer bezig zijn om iOS ‘open’ te gooien voor andere ontwikkelaars etc.
Word je inderdaad niet goed van....
ja wordt dood gegooid met wekelijks een update
Vreselijk al die updates die je telefoon beter beschermen.
ja want je kunt niet weten of je er beter of slechter van wordt. en terug keuze of gaan is er niet bij
'beter'?
het probleem alleen verergerde
Hoezo precies beter?
Bovenstaand in de laatste alinea staat duidelijk dat Apple op 13 december in iOS 11.2.1 een fix uitrolde. Derhalve lijkt de term 'beter' mij inderdaad wel op zijn plaats.

Wat dit artikeltje echter aan toont, en het originele artikel op Medium nog sterker, is dat de ene afdeling bij Apple vele malen meer klantgerichter aan het werk is dan de andere.
Denk dat diegenen die de daadwerkelijke bugfixing doen niet gewend zijn direct met laten te communiceren i.t.t. de PR-mensen, die volgens het originele bericht op Medium zeer welwillend waren.
Bij Apple heb ik verschillende ervaring, de ene keer heel positief en de andere keer kom je er geen stap verder mee.

[Reactie gewijzigd door BoringDay op 21 december 2017 20:44]

Jammer dat Apple het met iOS11 verprutst heeft. De exacte reden hiervan zullen we waarschijnlijk nooit weten. Was daar nog maar iOS10, misschien wel de meest stabiele versie ooit.

Liever om de twee jaar (of iets later dan een jaar) later een goede en stabiele update, dan ieder jaar een gepushte nieuwe versie.

Zelf geen last gehad van de HomeKit-bug overigens, ik denk dat mijn Philips Hue setje niet zo relevant is voor hackers. Ik ben blij dat Apple haar best doet, maar please, laat mij niet eindeloos handmatig in Instellingen naar nieuwe iOS-versies zoeken in de hoop op verbetering..
ik denk dat mijn Philips Hue setje niet zo relevant is
IoT nodes zijn mooi meegenomen in botnetjes. Als je maar genoeg low-powered meuk te grazen neemt, heb je vanzelf een mooi netwerk om mee te rotzooien (zie Mirai)
Google komt ook altijd snel met een fix, alleen krijgen veel toestellen dat niet omdat de fabrikanten geen updates pushen (wat inderdaad nergens op slaat). Overigens zou een bug als deze in Android zeer waarschijnlijk via een Google Play services update worden gepatcht en daarom wel naar alle devices worden gestuurd.
Stagefright vergeten? Google Play services was toen ook niet de oplossing. Juist omdat het probleem zoveel groter was dan gedacht. Toen moesten fabrikanten zelf patches uitgaan brengen wat bij onder andere Samsung 1 jaar duurde voor midrange toestellen überhaupt een update hiervoor zagen.
Netjes, Apple komt weer snel met een fix.

Bij Android gebeurt er niks, [...]
Dit is natuurlijk geen vrijbrief. Netjes dat ze snel een fix uitbrengen ja, maar mogen ze daarmee opeens heel veel fouten maken? want dan betwijfel ik of dat snelle updatebeleid nu echt veel beter is.
Android heeft maandelijks fixes.
Of de toestel leverancier die door zet is een tweede en ligt zeker niet aan Android
Inderdaad,

Ik heb sinds 2011 toch zo vaak een hack gehad van m'n Android telefoons! Een S2 die bleef steken op 4.1, die was gewoon bruikbaar tot ik hem liet vallen! Een stokoude Moto G, die deed het ook prima met 5.1. En shit, m'n OnePlus heeft pas de begeleidingsupdate van oktober! Ik krijg nu dagelijks wormen en virussen binnen. Oh nee, toch niet.

Telkens komt er weer een nieuwsbericht met "grote hack" in het nieuws, en wat is de daadwerkelijke schade? Nul komma nul.
Je hoort zelden iets omdat Android iets anders in elkaar zit dan wat we gewend zijn.
Heel veel veiligheid komt via de play services, iets wat op vrijwel elke telefoon van de laatste jaren door Google zelf naar je telefoon geduwd kan worden.
Hiermee ondervang je absoluut niet alles, en er mag wel degelijk druk uitgeoefend worden op de fabrikanten, maar het blijkt in de praktijk toch veel/genoeg tegen te gaan.
Op een telefoon is toch echt gebleken dat als je achter loopt er eigenlijk praktisch niks gebeurd en er dus niks aan de hand is. Dat is wel anders dan dat je de deur (meer dan eens) niet op slot doet |:(

Je slechte poging om sarcastisch te doen veranderd daar helemaal niks aan :Y)

*Uiteraard is het fijner om bij te zijn, maar laten we niet doen of het heel eng en spannend is allemaal, want in de praktijk gebeurd er gewoon niks boeiends....

[Reactie gewijzigd door watercoolertje op 20 december 2017 20:43]

Hoe veel impact heeft dat nou werkelijk gehad? Hoe veel devices zijn daardoor gecompromitteerd? Uiteindelijk was de impact daarvan ook gewoon nihil.
Ik snap dat je moedwillig Stagefright vergeet om je punt kracht bij te zetten.
Wat was de werkelijke impact daarvan?
En wat is de werkelijk impact van deze HomeKit bug?

Op dit item kan niet meer gereageerd worden.


Apple iPhone X Google Pixel 2 XL LG W7 Samsung Galaxy S9 Google Pixel 2 Far Cry 5 Microsoft Xbox One X Apple iPhone 8

Tweakers vormt samen met Tweakers Elect, Hardware.Info, Autotrack, Nationale Vacaturebank en Intermediair de Persgroep Online Services B.V. © 1998 - 2018 Hosting door True

*