HomeKit-bug uitgelegd: ‘Apple bouwde veilige deur, maar vergat de muren’
Een aantal weken geleden dook er een serieus beveiligingsprobleem met HomeKit op. Via een specifieke methode konden ongeautoriseerde gebruikers jouw HomeKit-accessoires op afstand bedienen. Er was in eerste instantie weinig bekend over deze bug, maar de ontdekker heeft zich nu uitgelaten over het beveiligingsprobleem, dat inmiddels opgelost is. Daarbij blijkt dat de communicatie met Apple nogal stroef verlopen is.
HomeKit-bug uitgelegd
De kritiek op slimme accessoires is vaak dat de beveiliging niet op orde is. Apple kwam daarom met HomeKit, een overkoepelend systeem waar accessoires gebruik van kunnen maken. Apple heeft strenge eisen voor HomeKit-accessoires opgesteld en benadrukte dat de beveiliging goed is geregeld, al werden de regels eerder dit jaar een stuk soepeler om meer apparaten met HomeKit te laten werken.
HomeKit-lek geeft op afstand toegang tot apparaten, Apple brengt fix uit
Toch blijkt nu dat in watchOS 4 de beveiliging toch niet zo goed is als in eerste instantie gedacht werd. Het bleek mogelijk om op afstand in te breken in een HomeKit-huis, al was de procedure wel vrij ingewikkeld. Apple ondernam direct actie door de bediening voor gastgebruikers op afstand tijdelijk uit te schakelen.
In een Medium-post heeft de ontdekker van de bug Khaos Tian uitgelegd wat er nu precies speelde. Wat HomeKit normaal gesproken doet, is controleren of een commando op afstand daadwerkelijk van jou of een geautoriseerde gebruiker afkomstig is. Ook bevat het commando een specifiek identificatienummer om het juiste accessoire, de scene of de kamer aan te sturen. Dit nummer is normaal gesproken niet te achterhalen, maar met de nodige (ingewikkelde) stappen was het voor ongeautoriseerde personen toch mogelijk. Hierdoor kon een buitenstaander toch jouw apparaten op afstand bedienen.
De tool die de hacker gebruikte maakte veel mogelijk.
Van kwaad tot erger
Apple bracht vervolgens iOS 11.2 en watchOS 4.2 uit, die de problemen hadden moeten oplossen. Dit was dus nog voordat de HomeKit-bug publiekelijk bekendgemaakt werd. Maar het ging van kwaad tot erger, want Apple maakte het in iOS 11.2 nog makkelijker om in te breken. Bij de eerdere bug had je namelijk altijd nog een Apple Watch met watchOS 4 of watchOS 4.1 nodig, maar met de komst van iOS 11.2 had een hacker alleen een iPhone nodig. Uiteindelijk werden alle problemen verholpen in iOS 11.2.1 en tvOS 11.2.1, waardoor de berichten die door een hacker of gebruiker verstuurd zijn beter gecontroleerd worden.
Uiteindelijk concludeert Khaos Tian dat Apple met HomeKit een ‘super beveiligde deur gemaakt heeft, maar daarbij de sleutel in het slot liet zitten en was vergeten om de omliggende muren te bouwen’. HomeKit is sinds de komst van iOS 11.2.1 weer veilig voor iedereen te gebruiken, zonder dat een hacker via deze methode toegang kan krijgen tot je woning.
iOS 11.2.1 nu te downloaden: Apple lost lek in HomeKit op
Communicatie met Apple verliep stroef
Het meest opvallende aan dit hele verhaal is dat de communicatie tussen de ontdekker van de bug en het beveiligingsteam van Apple behoorlijk stroef liep. Eind oktober stuurde de ontwikkelaar voor het eerst een melding, waarna hij één antwoord vanuit Apple kreeg. Daarin stond dat Apple het probleem in de maand november verder zou onderzoeken.
Tian liet het er echter niet bij zitten en heeft daarna nog vier mails verstuurd, maar vanuit Apple kwam geen reactie. De ontwikkelaar hoopte dat Apple de bug in iOS 11.2 opgelost had, maar dat bleek zoals eerder gezegd dus niet het geval. Uiteindelijk besloot Tian contact op te nemen met 9to5Mac, waarna de PR-afdeling van Apple uiteindelijk wel in actie kwam en iOS 11.2.1 op 13 december uitgebracht werd.
Een meer technische uitleg van het de reeds opgeloste HomeKit-bug vind je in de Medium-post van Khaos Tian.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Sommige Apple ID's zijn plotseling uitgelogd, gebruikers moeten wachtwoord resetten (27-04)
- Startup van voormalig Apple-onderzoeker wil je Mac veiliger maken (25-04)
- 'Recht op reparatie'-wetgeving in EU komt er nu echt aan (24-04)
- Made in India: één op de zeven iPhones wordt nu gemaakt in India (11-04)
- Onderzoek: 'Driekwart Nederlandse weggebruikers zit met mobiel achter het stuur' (02-04)
HomeKit
Ontdek alles wat je met HomeKit kunt doen, Apple's overkoepelende systeem voor slimme apparaten in huis. HomeKit en de Woning-app zijn de basis van Apple's smart home-platform, waarin je slimme lampen, deursloten, sensoren, raambekleding, camera's en meer aan elkaar kan koppelen en met elkaar kan laten samenwerken. Apparaten met HomeKit-ondersteuning werken ook met Siri. Bovendien werken accessoires die geschikt zijn voor de de smart home-standaard Matter ook compatibel met HomeKit en de Woning-app. Onze belangrijkste artikelen over HomeKit en smart home, overzichtelijk op een rijtje.
- Alles over HomeKit
- HomeKit handleiding voor nieuwe gebruikers
- HomeKit-producten in Nederland
- Woning-app van HomeKit gebruiken
- De beste HomeKit-tips
- De beste HomeKit-apps
- HomeKit deursloten
- HomeKit-camera's
- Slimme stekkers met HomeKit
- HomeKit-knoppen
- Rookmelders met HomeKit
- HomeKit routers
- HomeKit bedienen op verschillende manieren
- Slimme luchtreinigers met HomeKit
- HomeKit deurbellen met video
- Garagedeur bedienen met HomeKit en Siri
- Bewegingssensoren voor HomeKit
Reacties: 1 reacties