Apple wil USB-C-accessoires geen automatische toegang geven tot macOS Ventura

Apple

@langestefan • 9 juni 2022 21:02

Het nut is dat als je langs iemands gelockte laptop loopt, je niet zomaar ff een USB stick in kan steken, die snel malware uploadt (via exploit) en dan weer doorloopt.

je zult moeten ontgrendelen.

langestefan @Keypunchie • 9 juni 2022 21:28

Ik weet niet precies hoe zo'n hack werkt maar als het om USB sticks gaat dan blokkeer je specifiek de USB mass storage device class. Als ik het goed begrijp blokkeert Apple nu alle soorten accessoires.

Niet Henk @langestefan • 9 juni 2022 22:44

Lees je in in Thunderclap/Thunderspy. We hebben heel praktische voorbeelden van hoe een hack via Thunderbolt werkt zonder afhankelijk te zijn van een specifieke driver of specifiek type apparaat.

Gezien Apple zowel controle over de firmware als het besturingssysteem heeft, kan het zich nu adequaat tegen dergelijke hacks beschermen. Dit terwijl Thunderspy alle besturingssystemen treft omdat het een hack is die inherent was aan de werking van de Thunderbolt-controller en dus niet te patchen was voor de getroffen systemen.

langestefan @Niet Henk • 9 juni 2022 23:42

"All the evil maid needs to do is unscrew the backplate, attach a device momentarily, reprogram the firmware, reattach the backplate, and the evil maid gets full access to the laptop. All of this can be done in under five minutes."

Werkt dit ook op M1/M2 silicon?

? ? @langestefan • 10 juni 2022 10:33

Dan kan je evengoed een verborgen camera ophangen met zicht op toetsenbord, wachtwoord stelen en laptop stelen.

Coffee @? ? • 10 juni 2022 10:44

Nee hoor, men gebruikt gewoon Touch ID

berchtold @Coffee • 10 juni 2022 13:55

ja precies, zeker met die nieuwe passkeys, gwn alle wachtwoorden met touch ID. niks meer typen

Arhan @berchtold • 11 juni 2022 05:02

Oh, ja en dan wakker worden zonder laptop en vinger...

berchtold @Arhan • 11 juni 2022 16:43

Mja ze kunnen je ook martelen tot de code eruit is. Touch-id vereist btw een levende vinger. De kleine stroompjes door je lichaam worden gedetecteerd en de RF waves werken niet met dode huid

Verwijderd @berchtold • 13 juni 2022 19:03

Grimmig, maar goed om te weten, haha

Niet Henk @langestefan • 10 juni 2022 07:57

Nee, zeker niet. Alleen pre-2019 Macs met Thunderbolt werden hier getroffen.

Het zal daarom niet voor deze hack zijn, het is enkel een voorbeeld hoe dergelijke hacks kunnen werken. En persoonlijk denk ik dat een dergelijke maatregel introduceren tot minder ophef lijdt als je het doet voordat er een specifieke hack is, dan is het "slim, je attack surface reduceren", i.p.v. "stom lapmiddel zonder dat ze de hack patchen".

DefaultError @Niet Henk • 11 juni 2022 11:14

Dus alleen de nieuwste M1 en M2 zijn beter te beveiligen. De ouder architectuur is ‘eenvoudiger’ te kraken.

Ik hoop hiermee dat op dit nieuwe platform minder vaak een nieuwe release uitkomen van alweer een nieuwe OS. Het zal wel onlosmakelijk verbonden zijn met de losse einden die vroeg of laat kwetsbaar blijken. Als je niet meebeweegt in de cultuur dan ben je in 5 jaar tijd serieus kwetsbaar.

Op iOS is dat toch wat meer doordacht, alhoewel na 6 jaar bij je apparaat veiligheid en privacy gaan opspelen.

Apple doet als vanouds weinig uitspraken over hoe veilig of minder veilig je systeem is. Des Apples.

Goed dat standaard niet alle componenten worden herkent. Bij Microsoft is dat overigens al zo oud als de weg naar Rome.

Apple

@langestefan • 9 juni 2022 21:38

Volgens mij om andere exploits voor te zijn.

Kan me zomaar voorstellen dat bvb. een usb-apparaat de networking stack aanspreekt en daar een theoretische exploit kan uitvoeren.

Dan liever wat breder blokkeren (stand-alone display is uitgezonderd en laden kan altijd volgens de notes)

Ik ben ook geen expert op dit vlak, hoor, maar de use case is vrij duidelijk.

langestefan @Keypunchie • 9 juni 2022 21:50

Volgens mij om andere exploits voor te zijn.

Nogal overkil dan naar mijn mening

latka @langestefan • 9 juni 2022 22:06

Thunderbolt is gewoon pci-e. Met firewire zag je al dat er middels dma direkt verbinding is met het geheugen van de machine. Dit is niet theoretisch.

MindBender @latka • 11 juni 2022 09:57

Precies dit.

Een vijandig USB-C device kan zonder enige restricties bij het hele geheugen, en alle peripheral-registers. Een hardware MMU zou dat kunnen voorkomen, maar er zijn nog maar zeer weinig SoCs die dat hebben.

Apple
Laptops

@langestefan • 9 juni 2022 23:55

Nee dat is niet hoe het werkt. Voor Thunderbolt zijn er rootkits beschikbaar die direct over PCIe communiceren en omdat rootkit heeft een reinstall geen zin. Door dit dus te blokkeren vang je die komplete categorie van hit en run dus al af.

Micahve @Keypunchie • 10 juni 2022 09:24

Oké, maar to be honest als jij je peper duurde laptop onbeheerd in het publiek achterlaat dan verdien je zo'n usb stick met malware in je usb poort, al is het maar voor een les: "let op je spullen"

Apple

@Micahve • 10 juni 2022 09:57

Nou ja, als de Chinese douane hem even mee naar achter neemt… dan heb ik liever dat deze instelling actief is.

Sfynx @Keypunchie • 10 juni 2022 11:03

Als de douane er niet in kan zonder jouw medewerking, dan kan je kiezen tussen meewerken of een onbepaalde tijd gevangen zitten en daarna op de eerstvolgende vlucht terug gezet worden.

Dan werk je wel mee hoor

Liever dit soort apparaten gewoon niet bij je hebben op een vliegveld.

Kriekel @Sfynx • 10 juni 2022 14:32

In dat geval weet je dat er mee is gerotzooid.
Maar dit is dan ook een extreem geval, als je op je werk bent lunchen en je laat je laptop achter kan een kwaadwillende bezoeker zomaar een usb in je computer stoppen zonder dat je er ooit vanaf weet.

djwice

Laptops

@Kriekel • 10 juni 2022 17:19

Bij ons gaat alleen burn hardware mee naar China. Die komt niet terug.

Micahve @Kriekel • 15 juni 2022 07:45

Kan ook voorkomen worden met betere bedrijfs voorlichting.

Plus is denk ik ook een beetje paranoia. Trouwens als ze toch al fysiek binnen op het kantoor zijn kunnen ze vast ook toegang krijgen tot een Windows computer, dus dan heeft deze apple veiligheid alsnog geen zin

dimdek @Keypunchie • 12 juni 2022 23:50

Tenzij je er een van Apple zelf koopt. Dan is hij namelijk helemaal veilig

Het is overduidelijk markelting verpakt ik een security jasje net als bij het installeren van 'externe' programma's. De echte Apple fans vertrouwen Apple blind en kopen voortaan hen accessoires netjes bij Apple omdat de andere 'niet vertrouwd' zijn.

Apple

@dimdek • 13 juni 2022 00:13

Als je een wat van Apple koopt?

Waar lees je dat er uitzonderingen voor Apple spullen zelf zijn (niet dat ze overstromen van de usb-accessoires)?

dimdek @Keypunchie • 13 juni 2022 09:22

Tsja, ze moeten ergens beginnen. Een Apple usb-stick koopt niemand voor 50 euro als een Sandisk maar een fractie kost. Maar als de Sandisk onveilig wordt verklaard door Apple en er een Apple alternatief wordt aangeboden, dan kan het wel een overweging zijn voor velen. Ik heb genoeg klanten gezien die software nu uit de Apple Store halen of denken dat bepaalde software niet werkt omdat Apple de gedownloade software niet direct wil installeren of opstarten. Je moet ook maar net weten waar je de toestemming moet geven, want dat is netjes weggewerkt.
Kortom het is volgens mij de introductie van een nieuw verdienmodel met een soort van monopolie. Overigens doet Microsoft dat soort dingen ook al lang met het goedkeuren van drivers. Als een productent niet veel geld aan Microsoft afdraagd voor een gesigneerde driver, dan krijgt de gebruiker allerlei meldingen die de installatie voor velen onmogelijk maakt.

Apple

@dimdek • 13 juni 2022 09:53

Bereid om te wedden wanneer we de eerste Apple USB-stick gaan zien? Volgens mij gaat dat nl. nooit gebeuren. Zeg het maar.

dimdek @Keypunchie • 13 juni 2022 10:09

We zullen het zien. Ik denk dat je straks minder simpele Logitech muizen aan Apple computers zult zien hangen en dat Logitech dan met een duurdere gecertificeerde lijn moet komen waar Aplle aan gaat verdienen. De docks die je nodig hebt vanwege de minimale aansluitmogelijkheden zullen waarschijnlijk ook gecertificeerd moeten gaan worden. Daar zal Apple ook niet rouwig om zijn. MIsschien ook wat dure harddisks in een gecertificeerd doosje. Nog wat monitoren. Alleen nog Apple telefoons aankoppelen. Het is gewoon een slim verdienmodel waarbij mensen een duwtje krijgen om (gecertificeerde) Apple producten te kopen om de winst nog wat te vergroten (wat natuurlijk mag als het binnen de wetgeving past).

dieAndereGozer @Keypunchie • 13 juni 2022 08:17

Ik dacht dat Apple van die goede foutloze software maakte dat ze zelfs geen virusscanner nodig hadden?

Apple

@dieAndereGozer • 13 juni 2022 08:36

Als jij dat denkt, zegt dat vooral veel over jouw onwetendheid.

Daarnaast is het een drogreden: “als Schiphol zo veilig is, waarom staan er dan allemaal bewapende marechaussees?”

Dit soort functies zijn juist onderdeel van de steeds ontwikkelende beveiliging van MacOS, niet een teken van de onveiligheid.

dieAndereGozer @Keypunchie • 13 juni 2022 09:17

Als jij dat denkt, zegt dat vooral veel over jouw onwetendheid.

Mwah, dat is wat mij altijd verteld wordt door de 2 super apple nerds bij mij op het werk. Je herkent ze mijlenver

O085105116N @Keypunchie • 10 juni 2022 18:31

Ik moet het ff checken, maar mijn macbook mount geen usb drives als ie gelocked is.

segil @Keypunchie • 10 juni 2022 14:42

En hoe wil je dat doen op een systeem dat gelocked is? Dan moet gebruik gemaakt kunnen worden van een exploit in USB of een mass storage driver, anders gaat dat niet werken. Een rubber ducky zal ook niet werken, want die kan niets doen zolang het systeem gelocked is.

mark met een k @langestefan • 9 juni 2022 20:54

Wanneer jij een usb-c hub hebt goedgekeurd hoef je vervolgens niet ieder apparaat goed te keuren dat je in die hub prikt.

hiostu @mark met een k • 9 juni 2022 20:56

Dat is dan toch security-wise compleet een wassen neus als dat echt zo zou werken.

Apple

@hiostu • 9 juni 2022 21:04

Hoezo wassen neus? Het ‘threat model’ is om het compromitteren van een laptop tijdens een reis (bvb. bagage inspectie) te voorkomen.

Een hub staat ergens op een werkplek, waar je ws. meer fysieke security hebt.

hiostu @Keypunchie • 9 juni 2022 21:13

Als je dus een usb-c hub bij je hebt, wat veel mensen hebben door beperkte aantal usb poorten op laptop/mac, dan kun je dus nog een aanval doen met die hub. Iedereen op het werk bij ons met een Mac heeft een USB-C hub erbij. Dus als je die goedkeurd, kan iemand nog dubieuze hardware inpluggen. En dat zijn allemaal gewoon draagbare hubs.

[Reactie gewijzigd door hiostu op 23 juli 2024 09:23]

Verwijderd @hiostu • 9 juni 2022 21:16

Die hub is tijdens vervoer toch zeker niet aangesloten?

Apple

@Verwijderd • 9 juni 2022 22:26

Jawel. Denk aan bijvoorbeeld de HyperDrive om de TB3-poorten om te toveren naar USB-C, USB3, kaartlezer, etc.

Over het algemeen gebruik je de Mac dan wel zelf natuurlijk. Hoe het ook zij, deze stap van Apple reduceert de attack surface en window of opportunity. Dat het niet waterdicht is, dat is logisch. (Maar hoeft ook helemaal niet het doel te zijn. Compromissen zijn noodzakelijk. De best mogelijke beveiliging en het nog wel bruikbaar houden is beter dan helemaal geen beveiliging.)

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 09:23]

Apple
Laptops

@WhatsappHack • 9 juni 2022 23:58

Die hyperdrive heb je toch niet “vast” geïnstalleerd zitten?

Ten eerste past ie dan lastig in hoezen en ten tweede, keer een goede tik en de hele zwik breekt dwars over midden. Dag TB poorten.

BlackOwl @Verwijderd • 9 juni 2022 21:25

Nee, maar wel aanwezig in de zelfde tas.

Apple

@hiostu • 9 juni 2022 21:20

Ik denk bij hub aan een powered apparaat, niet per se aan een dongle.

Dan lijkt het me belangrijk om die dus niet als ‘vertrouwd’ te registreren als het al kan. (ik weet niet wat de voorwaarden voor die speciale registratie zijn)

Maar dit is de use case (en waarom het alleen op laptops actief is)

[Reactie gewijzigd door Keypunchie op 23 juli 2024 09:23]

mark met een k @hiostu • 9 juni 2022 21:49

Ik heb zelf een MacBook die ik zakelijk gebruik, ik ga naar kantoor waar we om en nabij 20 flexplekken hebben. Iedere plek heeft een hub met een monitor, muis toetsenbord en soms webcam aangesloten. Ik zou het bloed irritant vinden als ik elke keer wanneer ik ergens anders zit 4 keer toestemming moet geven voordat ik überhaupt kan beginnen met werken. Nu ben je met 20 werkplekken redelijk vlot door alle hardware heen maar als je 500 plekken hebt in een groot bedrijf kan dat best irritant zijn.

Ik zeg niet dat het de meest veilige oplossing is maar je moet mensen ook niet afschrikken om je functie te gebruiken, want voor onderweg of op openbare plekken werkt het vast prima.

langestefan @mark met een k • 9 juni 2022 20:58

Wat heb je daar aan als consument? Een laptop heeft meestal poorten genoeg binnen handbereik, geen hub nodig.

SRI @langestefan • 9 juni 2022 21:12

Voor elke usb a aansluiting die je wilt hebben moet je op MacBooks al een hub of adapter gebruiken. Naar mijn ervaring is dan ook hubs bij MacBooks een best veelvoorkomend verschijnsel.

Zonnetje83 @langestefan • 9 juni 2022 21:46

Jeetje zeg, het is al duidelijk: Apple is het niet voor jou. Mijn hemel. Alles wat Apple doet is in jouw ogen evil.

Ik zou zeggen, open je ogen eens, het kan best fijn zijn. Apple doet zeker dingen verkeerd, maar alles maar in het negatieve trekken is ook niet fair. En zeker niet als je niet wáárom Apple dit doet. Je neemt iets aan, that’s it.

Kijk naar de reacties hierboven: het heeft in dit geval (waarschijnlijk, ik weet het ook niet zeker) een veiligheidsaspect. Jouw reactie: shit. Nu iets anders verzinnen om negatief over te zijn. Erg jammer.

Apple

@langestefan • 9 juni 2022 22:29

“een trap de goede richting op met USB,”

Ja wat is het nou? Dus je vind het ”heerlijk” dat ze verplicht USB-C moeten gaan implementeren op iPhone om op te gaan in een standaard poort, maar als ze het voortouw nemen met USB-C op laptops standaardiseren dan is het opeens “ongemak creëren” als strategie en is dat iets heel erg slechts van Apple.

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 09:23]

Slaiter @WhatsappHack • 9 juni 2022 23:21

Niet helemaal waar.

2013 is USB-C ontstaan en waren daar o.a. Texas Instruments en Intel bij betrokken (niet Apple). De Nokia N1 Android tablet was vervolgens het eerste apparaat met USB-C.
Apple kondigde aan dat ze UCB-C op hun tablets gingen toepassen net 2 ur voordat Google dit deed, waarbij de laatst weer eerder met het feitelijke apparaat kwam.

Dus nee Apple was niet perse degene die het voortouw nam, maar meeging in een potentieel succesvolle aansluiting.

bronnen o.a.:
https://www.theverge.com/...r-specification-announced
https://www.gsmarena.com/nokia_n1-6814.php
https://9to5mac.com/2015/...-thin-chassis-new-screen/

Apple

@Slaiter • 9 juni 2022 23:30

Niet helemaal waar.

Maar je spreekt me ook niet echt tegen eigenlijk, want ik had het helemaal niet over tablets noch heb ik gezegd dat Apple de standaard heeft gemaakt.

Ik heb het specifiek over laptops ("maar als ze het voortouw nemen met USB-C op laptops standaardiseren"); dat is namelijk het onderwerp van het artikel én van de bovenstaande discussie. En op laptop gebied kan je rustig zeggen dat Apple heel erg hard heeft ingezet op USB-C. Zo hard, dat alle andere poorten jarenlang, tot vorig jaar met de nieuwe MBP's, verdwenen waren over de gehele linie van Macbooks'. En dat heeft wel degelijk geleid tot bredere acceptatie en implementatie van USB-C in dit marktsegment (meer bedrijven die USB-C hebben toegevoegd óf ook zelfs geheel over zijn gegaan); ook onder de accessoire-makers.

Dus: het voortouw genomen met hun agressieve push op USB-C binnen de laptopmarkt.

Ze zijn niet de enige hoor, don't get me wrong - maar ze zijn echt all-in gegaan; en ik kan zo 1,2,3 niemand noemen die dat toen al deed met de eerste release van die USB-C only apparaten; noch aangedurfd heeft...

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 09:23]

GekkePrutser @langestefan • 9 juni 2022 20:53

Security, het zit in de instellingen daarvoor.

You can change the security configuration in System Settings > Security and Privacy > Security. The initial configuration is Ask for new accessories. Configuring an accessibility Switch Control sets the policy to always allow accessory use. Approved devices can connect to a locked Mac for up to three days.

Je kan het overigens gewoon uitzetten als je dat wil. Dus in dit keer geen "goedgekeurd" (tegen betaling) idee. Want als het daar voor was dan had je het niet uit kunnen schakelen natuurlijk. Niet dat Apple daar niet vies van is, zie hun "made for iPhone" programma. Maar in dit geval is het meer tegen het infecteren van computers via een USB stick.

[Reactie gewijzigd door GekkePrutser op 23 juli 2024 09:23]

SRI @GekkePrutser • 9 juni 2022 21:14

Definieer goedgekeurd. Volgens mij gaat het om door de gebruiker goedgekeurd. Niet door Apple goedgekeurd. Dat zou het hele nut van de maatregel wegnemen want dan neem je een Apple goedgekeurde usb stick met malware erop en kun je het alsnog zo installeren.

GekkePrutser @SRI • 9 juni 2022 21:16

Ik zeg toch dat het dat inderdaad niet goedgekeurd door Apple is dit keer? Anders dan bij het made for iphone programma)

Blizz @SRI • 9 juni 2022 21:18

?

Het gaat erom dat iemand niet je Mac kan onderscheppen en bv. een exploit runnen op het lockscreen via USB. Door Apple goedgekeurd betekent dat complete types moeten worden goedgekeurd of dat je niet meer vrij bent om een USB stick te gebruiken op basis van hun scan van dat ding – bv. je hebt een crack van Photoshop: deze stick mag je erasen of je mag het niet gebruiken – dat moet je echt niet willen.

Sorcerer8472 9 juni 2022 20:46

Apple
Laptops

@langestefan • 9 juni 2022 23:56

Maar wat zou het dan moeten zijn? Een bureaublad setting? Accessibility?

Carbon @langestefan • 10 juni 2022 15:01

Ah ja tuurlijk, alleen accessoires met een Apple logo zeker.

Nope, ook hub devices kun je pas gebruiken na toestemming, dat bedoelen ze met 'approved hub device'

On portable Mac computers with Apple silicon, new USB and Thunderbolt accessories require user approval before the accessory can communicate with macOS for connections wired directly to the USB-C port. This doesn’t apply to power adapters, standalone displays, or connections to an approved hub. Devices can still charge if you choose Don’t Allow.

Mooi voorbeeld van lost in translation

In het artikel staat niet waarom dit geldt, maar ik neem aan dat het om veiligheidsredenen is, om bijv. zero-day exploits via usb-sticks te voorkomen?

Hoewel je blijkbaar wel die usb-stick op een vertrouwde dongle/hub kunt aansluiten, of bijv. achterin je monitor kunt prikken?

Aiii @Sorcerer8472 • 9 juni 2022 21:03

Als ik de release notes correct lees, en daarbij in acht neem dat het specifiek voor laptops is, dan is het een security measure specifiek bedoeld tijdens mobiel gebruik. Met andere woorden als je op pad bent en ergens zit met je laptop, dat dan niet iemand met een usb-key een aanval op je systeem kan uitvoeren als je even afgeleid wordt, bijvoorbeeld.

Wellicht zijn dat soort attacks via een hub helemaal niet mogelijk? Zou dat kunnen?

Apple

@Aiii • 9 juni 2022 21:32

Wellicht zijn dat soort attacks via een hub helemaal niet mogelijk? Zou dat kunnen?

lijkt me sterk. En ze hebben het ook niet op iMac/Mac Studio.

Om wat bot te zijn: dit is voor reizigers naar China (en soortgelijke regimes).

Veel bedrijven hebben al speciale “China-telefoons”, voor hun hotemetoten die naar China gaan. Dit lijkt een setting om precies dat scenario te bemoeilijken.

bigbadbull @Keypunchie • 14 juni 2022 11:19

en langs de andere kant waar je soms al je accounts moet afgeven, zal je dan wel door onze guard verplicht worden om op vertrouwen te klikken eens de CIA hun stikkie ingestoken hebben.

AppleFan2007 9 juni 2022 21:24

Apple

@Sorcerer8472 • 9 juni 2022 21:06

Het gaat niet om een besmette usb-stick die je zelf vindt: want die steek je nu in, en dan klik je “vertrouwen”. Zelfde probleem als voorheen.

Het gaat erom dat een derde partij, bvb. onbetrouwbare douaniers, niet snel een usb-stick met malware erin kan steken.

Het is de *eigenaar* die op vertrouwen moet drukken.

Soms moet je nu bij de douane of security ff tonen dat het apparaat werkt, dus dan moet hij aan. Maar ff snel een usb-stick erin terwijl je wordt afgeleid kan dus al niet meer.

[Reactie gewijzigd door Keypunchie op 23 juli 2024 09:23]

jurroen @Sorcerer8472 • 9 juni 2022 21:33

Via een gemiddelde USB hub zijn die aanvallen gewoon mogelijk. Aanvallen via de USB poort kunnen behoorlijk subtiel zijn.

Fony @Sorcerer8472 • 9 juni 2022 21:35

Dit lijkt op de USB restricted mode die Apple in iOS 12 heeft toegevoegd als reactie op Graykey waarmee iPhone gekraakt konden worden via de USB-poort: https://www.iculture.nl/nieuws/graykey-unlocker-fotos/
Zie ook: https://voi.id/en/amp/176...rom-connecting-to-devices

Donstil

Apple

@Sorcerer8472 • 10 juni 2022 00:20

Edit: Aah ik las het verkeerd, never mind.

[Reactie gewijzigd door Donstil op 23 juli 2024 09:23]

Het kan misschien zijn door de rare opbouw van het artikel maar ik snap deze functie niet. Als je zelf een USB in je Mac steekt, waarom moet je dan nog eens apart toestemming geven. Dat doe je toch op het moment dat je het in plugt?

Aiii @AppleFan2007 • 9 juni 2022 21:35

En hoe ziet je Mac dat jij degene bent die het inplugt? Via de webcam wellicht?

AppleFan2007 @Aiii • 9 juni 2022 21:43

Maakt toch niet echt uit, als een willekeurige persoon een USB in steekt en dan vragen ze toestemming dan gaat die persoon zeker geen nee zeggen. Waarschijnlijk moet je paswoord ingeven maar als ze een USB kunnen insteken en er iets mee willen doen moeten ze de Mac ontgrendelen.

RefriedNoodle @AppleFan2007 • 10 juni 2022 09:43

Maakt toch niet echt uit, als een willekeurige persoon een USB in steekt en dan vragen ze toestemming dan gaat die persoon zeker geen nee zeggen.

Je moet wel ingelogd zijn om deze toestemming te kunnen geven.

Waarschijnlijk moet je paswoord ingeven maar als ze een USB kunnen insteken en er iets mee willen doen moeten ze de Mac ontgrendelen.

Niet per sé. Thunderbolt heeft toegang tot de pci-e bus. Je zou daar in theorie al narigheid mee kunnen uithalen, zonder dat je verder iets op de laptop hoeft te doen. Nog even los van exploits die wellicht misbruikt kunnen worden vanuit het lockscreen.

ShadLink @AppleFan2007 • 9 juni 2022 22:05

Heel simpel het is om te voorkomen dat een vreemde ineens een USB hack op je laptop aansluit a ls je met je laptop bij de Starbucks (voorbeeld) zit. Denk bv aan een keylogger.

WhiteDog 9 juni 2022 21:20

Er zijn allerlei programmeerbare USB apparaten te koop (bv. in de vorm van een Lightning oplaadkabel) die zichzelf kunnen voordoen als eender welk apparaat, bv. een toetsenbord. Eens ingeplugd begint dat ding commando's uit te voeren

Dat macOS om toestemming komt vragen als je jouw nieuw "toetsenbord" aansluit is dus nog niet zo'n slecht idee...

batjes @WhiteDog • 10 juni 2022 08:14

Maar wat nou als er nog niets was aangesloten?

Geeft me een beetje het gevoel van een oude bios foutmelding.
"Keyboard not found, press F1 to continue".

aikebah @batjes • 10 juni 2022 09:25

Dan moet je hopen dat je built-in keyboard gewoon goed werkt

JayPe @aikebah • 10 juni 2022 12:25

Of drie dagen wachten.

Roel1966

9 juni 2022 23:02

Hmm, tja, eerlijk gezegd is het mij, ook net als anderen, niet helemaal duidelijk wat er nu bedoeld word in het artikel. Voor zover ik eruit kan opmaken moeten gebruikers eerst toestemming verlenen aan externe apparaten die niet tijdens installatie van Ventura waren aangesloten. Zo apart of schokkend vind ik dit niet want dat verschilt eigenlijk weinig tot niet met Windows. Binnen Windows is het zelfs vaker zo dat er eerst een driver geïnstalleerd moet worden alvorens een extern device werkt.

Enigste waar ik wel even vraagtekens bij zet is:

Apple schrijft daarin dat voedingen, monitors en accessoires die verbinding maken met een goedgekeurde hub, niet om toestemming moeten vragen.

Ik hoop niet dat Apple weer aan het teruggaan is naar eerder toen je alleen maar door Apple gecertificeerde hubs kon gebruiken. Vaak waren dat veelal de duurdere hubs met een fancy kastje er omheen. Let wel dat ik ook weer niet kapot ervan ben om goedkope Chinese hubs te gaan gebruiken maar er ook een gulden middenweg is.

Apple

@Roel1966 • 9 juni 2022 23:34

Volgens mij wordt bedoeld "door de gebruiker goedgekeurde hubs". Dus niet "Apple Certified", maar als jij als user gewoon een Dock verbindt en deze "goedkeurt": dan pakt ie accessoires die verbonden worden met die hub zonder verder gezeik.

In de release notes staat:

On portable Mac computers with Apple silicon, new USB and Thunderbolt accessories require user approval before the accessory can communicate with macOS for connections wired directly to the USB-C port. This doesn’t apply to power adapters, standalone displays, or connections to an approved hub. Devices can still charge if you choose Don’t Allow.

M.a.w.: je moet als gebruiker "approval" geven. Maar als je een hub reeds die "approval" hebt gegeven (en die daarmee dus "an approved hub" wordt), dan hoef je niet voor elk accessoire apart dat je aan die hub hangt nog eens goedkeuring te geven.

Als het hier ging om "approved by Apple" ipv "Approved by the user", dan hadden ze dat denk ik wel heel duidelijk zo beschreven en meteen details gegeven over een licentie-programma. En het zou ook heel raar zijn met het oog op wat deze functie wil bereiken.

[Reactie gewijzigd door WhatsappHack op 23 juli 2024 09:23]

Aeternum @WhatsappHack • 10 juni 2022 07:29

Ah, dank. Zelfs als notoire niet apple liefhebber, vind ik dit een prima security maatregel. Dit kan echt een hoop ellende voorkomen, en vaak is opladen ook genoeg.

-edit-
Ik vraag me wel af hoe dat dan werkt met een nieuw toetsenbord / muis.

[Reactie gewijzigd door Aeternum op 23 juli 2024 09:23]