Apple patcht HomeKit-bug die iOS-apparaten onbruikbaar kan maken

Apple heeft een HomeKit-bug die iOS-apparaten onbruikbaar kan maken gepatcht. Het bedrijf dicht dat lek in iOS- en iPadOS-versie 15.2.1. Vorige week deelde een securityonderzoeker voor het eerst details over de bug, nadat Apple de bug niet tijdig opgelost zou hebben.

Apple bracht iOS 15.2.1 en iPadOS 15.2.1 op woensdag uit. De update lijkt vooral bugfixes te bevatten. De fabrikant meldt onder andere dat het de eerdergenoemde HomeKit-bug heeft opgelost. Via die bug konden mensen een denial-of-service veroorzaken op iOS-apparaten. De bug heeft de code CVE-2022-22588 gekregen. Apple heeft het probleem naar eigen zeggen opgelost door een resource exhaustion-probleem aan te pakken via een 'verbeterde inputvalidatie'.

Details over de bug, die de naam Doorlock droeg, werden vorige week gedeeld door securityonderzoeker Trevor Spiniolas. Gebruikers konden HomeKit-apparaten een erg lange naam geven, van ongeveer 500.000 tekens. IOS-apparaten die vervolgens verbinding maakten met dat apparaat reageerden niet meer, ook niet nadat deze opnieuw werden opgestart.

Spiniolas heeft naar eigen zeggen in augustus al melding gemaakt van de bug. Apple heeft volgens de securityonderzoeker te traag gereageerd op zijn aanvankelijke melding. De onderzoeker deelde vorige week e-mails met The Verge, waarin een Apple-medewerker de bug erkende en Spiniolas verzocht om tot begin 2022 geen details over Doorlock te publiceren. Het bedrijf zou aanvankelijk gemeld hebben dat het probleem 'voor 2022' opgelost zou worden, maar stelde dit later uit tot 'begin 2022'. Inmiddels is de bug dus verholpen. Apple krijgt al langer kritiek vanwege zijn bugbountyprogramma en Tweakers schreef daar vorig jaar al een artikel over.

Verder meldt Apple in de changelogs dat de update een probleem oplost waarmee berichten die via een iCloud-link zijn verzonden niet worden geladen. IOS 15.2.1 patcht ook een bug waardoor bepaalde CarPlay-apps niet reageren op inputs. Gebruikers kunnen de update opvragen en installeren in de instellingen van iOS of iPadOS, onder 'algemeen'.

Door Daan van Monsjou

Redacteur

12-01-2022 • 20:29

23 Linkedin

Submitter: Hackus

Reacties (23)

Wijzig sortering
De carplay bug heb ik al sinds een paar dagen last van. Apps werken alleen als ik ze tegelijkertijd op de iphone opstart. Gelukkig nu al opgelost.
Bij mij werkte flitsmeister deze ochtend nog steeds niet, tenzij ik mijn toestel ontgrendeld op de flitsmeister app open laat.
De kans dat je deze aanval krijgt is zo minim, iemand moet je uitnodigen voor zijn woning en vervolgens crasht je telefoon. Niemand wordt hier rijker van. Geen high prio toch? als ik een bat file rondstuur en dit trekt je registry in het rond dan heb je hetzelfde effect?
Apple was ook zeer traag en slordig met het fixen v/d de screen unlock bug een paar jaar geleden.
Apple deed niets. Toen een jailbreak verscheen was Apple plotseling zeer snel want dat kost inkomsten. Toen werd de jailbreak fix onder het mom v/e lock screen bugfix gepushed.
Jailbreak werd onmogelijk maar de lockscreen bug was nog steeds aanwezig.
Weer stilte van Apple tot de volgende jailbreak. Toen weer plotseling een lockscreen patch die vooral het jailbreaken onmogelijk maakte.

Kortom Apple is alleen snel als het geld kost.
Kortom Apple is alleen snel als het geld kost.
Goh. Het lijkt wel een commercieel bedrijf. Oh wacht…

Apple is hier niet uniek in hoor. Primaire prioriteit van elk commercieel bedrijf is zorgen voor voldoende en stabiele inkomsten.

Niet om het goed te praten, maar we moeten niet doen alsof Apple hier uniek in is. Sterker nog, Apple heeft juist enorm lange ondersteuning. Veel (goedkope) concurrentie is na 2 a 3 jaar na lancering al niet meer ondersteund.

[Reactie gewijzigd door Naafkap op 12 januari 2022 21:38]

Geen idee wat de relevantie van je bericht is bij dit onderwerp en of het überhaupt klopt maar deze patch heeft niet zoveel met de Jailbreak scene te maken schat ik zo in. Als dat überhaupt nog een relevant iets is voor Apple.

[Reactie gewijzigd door Donstil op 12 januari 2022 22:50]

Kortom Apple is alleen snel als het geld kost.
Heb je al eens kennis gemaakt met Office? A.k.a. Apple is hierin niet uniek.
Het zou mooi zijn als ze bij Apple jaarlijks 10 miljard meer steken in software ontwikkeling. Paar keer week merk ik namelijk wat framedrops. Dat moet gewoon gefixt worden.
Nogal algemene stelling, niet? (Mogelijks is er een verklaring? Misschien kan je op got wel iemand vinden die je kan helpen? Of je kan feedback naar Apple sturen, uit ervaring weet ik dat je zelfs reactie kan krijgen).

Laat ze anders 10 miljard steken in batterijtechnologie. Een paar keer per week merk ik dat de batterij van mijn telefoon leeg is }:O
Nou ja, laten we wel wezen: toen Steve Jobs nog de leiding had was de algemene kwaliteit van de software toch echt wel stukken beter. Steve was een gebruiker van zijn eigen producten en accepteerde alleen het allerbeste. Misschien wat minder fijn voor de ontwikkelaars maar beter voor de gebruikers.

Toegegeven de complexiteit van de software is flink toegenomen maar het aantal bugs is onevenredig toegenomen. En dan heb ik het niet over de grote zaken, die zijn nog steeds prima in orde. Maar vooral de kleinere probleempjes laten zich steeds vaker zien. Foto's die niet meer (volledig) syncen via iTunes/Finder. Je Mac niet meer af kunnen sluiten als er toevallig een seriële sync met je iPhone bezig is. Een knop in de Instellingen app die niet meer in te drukken is maar na het herstarten van de app weer wel. Bluetooth devices die na een update ineens niet meer verbonden kunnen worden maar na de volgende update weer wel. Airplay met je AppleTV die soms niet meer connect. En framedrops inderdaad.

Allemaal zaken die gewoon niet voorkwamen destijds; elke release was gewoon pixel-perfect.
Op zich eens hoor. Ik draai zelf vrijwel altijd beta versies dus durf me niet zo direct uitspreken over de stabiliteit van de officiële releases, maar ik zie mijn aantal feedback/bug reports ook met de iOS versies stijgen, dus ik kan er mij wel iets bij voorstellen. Anderzijds denk ik dat de tijd je ook milder maakt, volgens mij waren er vroeger ook wel problemen (ik romantiseer zelf ook de Jobs-periode).

Ik reageerde meer in de zin dat problemen ook kunnen opgelost worden. Niet dat ik het eens ben met de huidige evolutie dat de eindgebruiker ook betatester moet zijn (ik heb er geen probleem mee om dat zelf vrijwillig wel te doen, maar wie een “stabiele” release kiest, zou waar voor zijn geld moeten krijgen), maar als het je frustreert, dan kan je er wel iets aan doen.

Persoonlijk zie ik die framedrops niet (maar het is niet relevant wat ik zie of niet zie), maar met wat meer info, kan ik (of anderen die ongetwijfeld nog meer verstand hebben hierover dan ikzelf, of Apple gewoon zelf) wél proberen om het probleem te identificeren en misschien zelfs op te lossen. Dat overkomt me verbazingwekkend vaak (ook vanuit Apple).
Jammer dat het weer zolang duurt nadat de bug al maanden geleden gemeld was
het blijft me verbazen hoe snel apple updates uitbrengt wanneer er zo'n bug wordt gemeld of online wordt gezet, en een paar dagen later al updates
Deze bug schijnt al maanden geleden gemeld te zijn en is nu pas gedicht.
De onderzoeker heeft de bug naar eigen zeggen in augustus gemeld bij Apple
nieuws: Apple HomeKit-bug kan iOS-apparaten onbruikbaar maken
Dan zie je toch maar hoe goed apple hun PR is:
Reason for Public Disclosure
This bug was initially reported on August 10th, and remains in iOS 15.2.
Die bug die je apparaat kon onbruikbaar maken is dus maanden genegeerd door apple.

https://trevorspiniolas.com/doorlock/doorlock.html

[Reactie gewijzigd door k995 op 12 januari 2022 20:50]

Downplayen zodat de bug bounty lekker laa kan blijven.
Niet om het te downplayen maar je verteld een verhaal alleen van 1 kant. De officiële CVE is nog steeds leeg dus we kunnen zijn verhaal (nog) niet valideren.
Apple brengt patch uit voor HomeKit-bug die iOS-apparaten onbruikbaar kan maken
Ik dacht dus dat de patch ervoor zorgt dat iOS-apparaten onbruikbaar worden. Maar het is dus bedoeld om een bug te fixen die dat veroorzaakt.
Titel mag voor mij wel wat duidelijker (enkelvoudig uitlegbaar). :Y) :Y)

Admin-edit:Bedankt voor je feedback. Commentaar voor de redactie hoort echter thuis in Geachte Redactie. Hier staat het de inhoudelijke discussie niet in de weg en kan de redactie het eenvoudig terugvinden.

[Reactie gewijzigd door Bor op 12 januari 2022 20:39]

Thanks voor de feedback! Even los van de admin-edit (in het vervolg mag dit inderdaad in GR, zoals het moderatieteam opmerkt), ben ik het wel met je eens! Ik heb de titel gewijzigd naar het onderstaande :)
Apple patcht HomeKit-bug die iOS-apparaten onbruikbaar kan maken

Op dit item kan niet meer gereageerd worden.


Nintendo Switch (OLED model) Apple iPhone SE (2022) LG G1 Google Pixel 6 Call of Duty: Vanguard Samsung Galaxy S22 Garmin fēnix 7 Nintendo Switch Lite

Tweakers vormt samen met Hardware Info, AutoTrack, Gaspedaal.nl, Nationale Vacaturebank, Intermediair en Independer DPG Online Services B.V.
Alle rechten voorbehouden © 1998 - 2022 Hosting door True

Tweakers maakt gebruik van cookies

Tweakers plaatst functionele en analytische cookies voor het functioneren van de website en het verbeteren van de website-ervaring. Deze cookies zijn noodzakelijk. Om op Tweakers relevantere advertenties te tonen en om ingesloten content van derden te tonen (bijvoorbeeld video's), vragen we je toestemming. Via ingesloten content kunnen derde partijen diensten leveren en verbeteren, bezoekersstatistieken bijhouden, gepersonaliseerde content tonen, gerichte advertenties tonen en gebruikersprofielen opbouwen. Hiervoor worden apparaatgegevens, IP-adres, geolocatie en surfgedrag vastgelegd.

Meer informatie vind je in ons cookiebeleid.

Sluiten

Toestemming beheren

Hieronder kun je per doeleinde of partij toestemming geven of intrekken. Meer informatie vind je in ons cookiebeleid.

Functioneel en analytisch

Deze cookies zijn noodzakelijk voor het functioneren van de website en het verbeteren van de website-ervaring. Klik op het informatie-icoon voor meer informatie. Meer details

janee

    Relevantere advertenties

    Dit beperkt het aantal keer dat dezelfde advertentie getoond wordt (frequency capping) en maakt het mogelijk om binnen Tweakers contextuele advertenties te tonen op basis van pagina's die je hebt bezocht. Meer details

    Tweakers genereert een willekeurige unieke code als identifier. Deze data wordt niet gedeeld met adverteerders of andere derde partijen en je kunt niet buiten Tweakers gevolgd worden. Indien je bent ingelogd, wordt deze identifier gekoppeld aan je account. Indien je niet bent ingelogd, wordt deze identifier gekoppeld aan je sessie die maximaal 4 maanden actief blijft. Je kunt deze toestemming te allen tijde intrekken.

    Ingesloten content van derden

    Deze cookies kunnen door derde partijen geplaatst worden via ingesloten content. Klik op het informatie-icoon voor meer informatie over de verwerkingsdoeleinden. Meer details

    janee