Ontwikkelaar: update iOS en watchOS maakte HomeKit onveiliger

De vinder van de bug in HomeKit die het mogelijk maakte om apparaten op afstand over te nemen, zegt dat een update van Apple na de melding van de bug het probleem alleen verergerde. Apple bracht onlangs een fix uit.

Waar een kwaadwillende onder iOS 11.1 en watchOS 4.1 maar moest hopen dat het slachtoffer een Apple Watch in bezit had, bleek dat onder iOS 11.2 niet langer nodig. Na die update was een iPhone namelijk voldoende om de unieke codes in handen te krijgen om zijn of haar HomeKit-apparaten te besturen, zo schrijft Khaos Tian op Medium.

Onder iOS 11.2 checkte de 'home manager' niet of de zender van een bericht de eigenaar van de HomeKit-apparaten is, maar stuurde gelijk de codes om de apparaten te bedienen naar een kwaadwillende toe.

Voordat Apple vorige week een fix uitrolde, schakelde het de functie om apparaten op afstand te bedienen uit om misbruik van het lek te voorkomen. Tian schrijft verder dat hij het lek eind oktober meldde. Toen er maar geen fix kwam, heeft hij het in samenwerking met 9to5Mac naar buiten gebracht, waarna Apple snel in actie kwam en binnen twee dagen de functie uitschakelde.

Reacties (46)

Halo_Master 20 december 2017 20:24

Ze zullen idd goed moeten evalueren wat er de laatste maanden fout is gegaan mbt software(updates), ze hebben veel steekjes laten vallen...

IM_YOUR_MAMA 20 december 2017 21:02

Doen ze update alleen als het veel pers aandacht krijgt van de pers/community?

[Reactie gewijzigd door IM_YOUR_MAMA op 25 juli 2024 22:10]

WhatsappHack

Apple

@IM_YOUR_MAMA • 21 december 2017 04:57

Nee, wss dankzij responsible disclosure werd dit juist pas een behoorlijke tijd na de release van iOS 11.1.2, die het probleem fixt, de media ingeslingerd.

well0549 20 december 2017 20:15

Apple laat behoorlijk wat steekjes vallen de laatste tijd

RobbieB @well0549 • 20 december 2017 22:38

Ach nee joh, dit is altijd al het geval geweest. Voor de mensen die al wat langer meedraaien in de Apple wereld (lees: van voor de iPhone) weten dat Apple wel vaker rare en vervelende bugs had.
Feit is nu dat:
- Door de exposure van Apple dit eerder in de media komt
- Door het toegenomen aantal gebruikers dit soort bugs sneller gevonden worden

In beide gevallen is dit dus een winst voor de Apple gebruikers, want er wordt eerder actie op ondernomen dan in de begin jaren 2000 het geval was.

Maar ik wordt een beetje moe vd narrative ‘Apple software gaat qua kwaliteit achteruit’, waar dit naar mijn idee echt niet veranderd is de afgelopen 18 jaar...

jabwd @RobbieB • 20 december 2017 23:38

Herinner je Xcode 3.2 en de standalone interface builder? Werkten beide perfect. Probeer in Xcode9 maar IB te gebruiken zonder een kruk en een touw te kopen om er maar een einde aan te maken.

Ze brengen veel verbeteringen aan en voegen veel nieuwe functies toe; maar ik zou echt wel wat meer bugfix releases willen zien van alle grote producten van apple.

Anoniem: 1004491 @RobbieB • 20 december 2017 23:48

Apple gaat wel degelijk keihard achteruit in kwaliteit. Kijk op youtube naar Apple gebruikers, lees de Apple fora, lees tech sites. Allemaal roepen ze dat Apple keihard aan het inleveren is op kwaliteit sinds Jobs dood is. IOS 11 had 6 fixes/updates in 5 weken. Ongehoord.

MicroSaft @well0549 • 20 december 2017 20:35

Ja het is de laatste tijd wat meer dan anders. Maar deze ene bug heeft nu wel al zijn derde of vierde tweakers artikel te pakken. Voor degene die niet lezen of goed snappen dat dit allemaal over hetzelfde gaat is de beeldvorming natuurlijk sowieso al verpest.

Aikon @MicroSaft • 20 december 2017 20:48

Maar als Apple snel een goede fix had uitgebracht was het bij 1 a 2 artikelen gebleven, daar draagt een bedrijf zelf aan bij...

Campo di Casa @well0549 • 20 december 2017 20:58

Kan mij idd tijden herinneren dat ze het beter voor elkaar hadden. Ik vraag mij dan ook af in hoeverre dit komt doordat ze meer bezig zijn om iOS ‘open’ te gooien voor andere ontwikkelaars etc.

quinten010 @well0549 • 20 december 2017 20:17

Word je inderdaad niet goed van....

hbt68 @well0549 • 20 december 2017 20:18

ja wordt dood gegooid met wekelijks een update

mickeyhouse @hbt68 • 20 december 2017 20:19

Vreselijk al die updates die je telefoon beter beschermen.

hbt68 @mickeyhouse • 20 december 2017 20:21

ja want je kunt niet weten of je er beter of slechter van wordt. en terug keuze of gaan is er niet bij

SinergyX @mickeyhouse • 20 december 2017 20:23

'beter'?

het probleem alleen verergerde

Hoezo precies beter?

Anoniem: 343906 @SinergyX • 20 december 2017 20:55

Bovenstaand in de laatste alinea staat duidelijk dat Apple op 13 december in iOS 11.2.1 een fix uitrolde. Derhalve lijkt de term 'beter' mij inderdaad wel op zijn plaats.

Wat dit artikeltje echter aan toont, en het originele artikel op Medium nog sterker, is dat de ene afdeling bij Apple vele malen meer klantgerichter aan het werk is dan de andere.

Anoniem: 343906 @BoringDay • 21 december 2017 18:29

Denk dat diegenen die de daadwerkelijke bugfixing doen niet gewend zijn direct met laten te communiceren i.t.t. de PR-mensen, die volgens het originele bericht op Medium zeer welwillend waren.

BoringDay @Anoniem: 343906 • 21 december 2017 20:41

Bij Apple heb ik verschillende ervaring, de ene keer heel positief en de andere keer kom je er geen stap verder mee.

[Reactie gewijzigd door BoringDay op 25 juli 2024 22:10]

Gr4mpyC3t

Apple

20 december 2017 20:48

Jammer dat Apple het met iOS11 verprutst heeft. De exacte reden hiervan zullen we waarschijnlijk nooit weten. Was daar nog maar iOS10, misschien wel de meest stabiele versie ooit.

Liever om de twee jaar (of iets later dan een jaar) later een goede en stabiele update, dan ieder jaar een gepushte nieuwe versie.

Zelf geen last gehad van de HomeKit-bug overigens, ik denk dat mijn Philips Hue setje niet zo relevant is voor hackers. Ik ben blij dat Apple haar best doet, maar please, laat mij niet eindeloos handmatig in Instellingen naar nieuwe iOS-versies zoeken in de hoop op verbetering..

Anoniem: 420148 @Gr4mpyC3t • 20 december 2017 23:32

ik denk dat mijn Philips Hue setje niet zo relevant is

IoT nodes zijn mooi meegenomen in botnetjes. Als je maar genoeg low-powered meuk te grazen neemt, heb je vanzelf een mooi netwerk om mee te rotzooien (zie Mirai)

Legosteen11 @Anoniem: 474132 • 20 december 2017 20:27

Google komt ook altijd snel met een fix, alleen krijgen veel toestellen dat niet omdat de fabrikanten geen updates pushen (wat inderdaad nergens op slaat). Overigens zou een bug als deze in Android zeer waarschijnlijk via een Google Play services update worden gepatcht en daarom wel naar alle devices worden gestuurd.

Anoniem: 902873 @Legosteen11 • 21 december 2017 13:20

Stagefright vergeten? Google Play services was toen ook niet de oplossing. Juist omdat het probleem zoveel groter was dan gedacht. Toen moesten fabrikanten zelf patches uitgaan brengen wat bij onder andere Samsung 1 jaar duurde voor midrange toestellen überhaupt een update hiervoor zagen.

xFeverr @Anoniem: 474132 • 20 december 2017 21:20

Netjes, Apple komt weer snel met een fix.

Bij Android gebeurt er niks, [...]

Dit is natuurlijk geen vrijbrief. Netjes dat ze snel een fix uitbrengen ja, maar mogen ze daarmee opeens heel veel fouten maken? want dan betwijfel ik of dat snelle updatebeleid nu echt veel beter is.

well0549 @xFeverr • 20 december 2017 22:54

Android heeft maandelijks fixes.
Of de toestel leverancier die door zet is een tweede en ligt zeker niet aan Android

Jeroenneman @Anoniem: 474132 • 20 december 2017 20:29

Inderdaad,

Ik heb sinds 2011 toch zo vaak een hack gehad van m'n Android telefoons! Een S2 die bleef steken op 4.1, die was gewoon bruikbaar tot ik hem liet vallen! Een stokoude Moto G, die deed het ook prima met 5.1. En shit, m'n OnePlus heeft pas de begeleidingsupdate van oktober! Ik krijg nu dagelijks wormen en virussen binnen. Oh nee, toch niet.

Telkens komt er weer een nieuwsbericht met "grote hack" in het nieuws, en wat is de daadwerkelijke schade? Nul komma nul.

Fly-guy

@Anoniem: 474132 • 20 december 2017 20:44

Je hoort zelden iets omdat Android iets anders in elkaar zit dan wat we gewend zijn.
Heel veel veiligheid komt via de play services, iets wat op vrijwel elke telefoon van de laatste jaren door Google zelf naar je telefoon geduwd kan worden.
Hiermee ondervang je absoluut niet alles, en er mag wel degelijk druk uitgeoefend worden op de fabrikanten, maar het blijkt in de praktijk toch veel/genoeg tegen te gaan.

watercoolertje

Apple

@Morress • 20 december 2017 20:42

Op een telefoon is toch echt gebleken dat als je achter loopt er eigenlijk praktisch niks gebeurd en er dus niks aan de hand is. Dat is wel anders dan dat je de deur (meer dan eens) niet op slot doet

Je slechte poging om sarcastisch te doen veranderd daar helemaal niks aan

*Uiteraard is het fijner om bij te zijn, maar laten we niet doen of het heel eng en spannend is allemaal, want in de praktijk gebeurd er gewoon niks boeiends....

[Reactie gewijzigd door watercoolertje op 25 juli 2024 22:10]