HomeKit-scenes voor buitenverlichting.

HomeKit-bug uitgelegd: ‘Apple bouwde veilige deur, maar vergat de muren’

Hoe kon de HomeKit-bug gebeuren? De ontdekker van de bug legt uit wat er precies aan de hand was en vertelt dat de communicatie met Apple nogal stroef verliep. Het lek bleek al zes weken bij Apple bekend, voordat er actie werd ondernomen.

Een aantal weken geleden dook er een serieus beveiligingsprobleem met HomeKit op. Via een specifieke methode konden ongeautoriseerde gebruikers jouw HomeKit-accessoires op afstand bedienen. Er was in eerste instantie weinig bekend over deze bug, maar de ontdekker heeft zich nu uitgelaten over het beveiligingsprobleem, dat inmiddels opgelost is. Daarbij blijkt dat de communicatie met Apple nogal stroef verlopen is.

HomeKit-bug uitgelegd

De kritiek op slimme accessoires is vaak dat de beveiliging niet op orde is. Apple kwam daarom met HomeKit, een overkoepelend systeem waar accessoires gebruik van kunnen maken. Apple heeft strenge eisen voor HomeKit-accessoires opgesteld en benadrukte dat de beveiliging goed is geregeld, al werden de regels eerder dit jaar een stuk soepeler om meer apparaten met HomeKit te laten werken.

Toch blijkt nu dat in watchOS 4 de beveiliging toch niet zo goed is als in eerste instantie gedacht werd. Het bleek mogelijk om op afstand in te breken in een HomeKit-huis, al was de procedure wel vrij ingewikkeld. Apple ondernam direct actie door de bediening voor gastgebruikers op afstand tijdelijk uit te schakelen.

In een Medium-post heeft de ontdekker van de bug Khaos Tian uitgelegd wat er nu precies speelde. Wat HomeKit normaal gesproken doet, is controleren of een commando op afstand daadwerkelijk van jou of een geautoriseerde gebruiker afkomstig is. Ook bevat het commando een specifiek identificatienummer om het juiste accessoire, de scene of de kamer aan te sturen. Dit nummer is normaal gesproken niet te achterhalen, maar met de nodige (ingewikkelde) stappen was het voor ongeautoriseerde personen toch mogelijk. Hierdoor kon een buitenstaander toch jouw apparaten op afstand bedienen.

Tool voor HomeKit-bug.
De tool die de hacker gebruikte maakte veel mogelijk.

Van kwaad tot erger
Apple bracht vervolgens iOS 11.2 en watchOS 4.2 uit, die de problemen hadden moeten oplossen. Dit was dus nog voordat de HomeKit-bug publiekelijk bekendgemaakt werd. Maar het ging van kwaad tot erger, want Apple maakte het in iOS 11.2 nog makkelijker om in te breken. Bij de eerdere bug had je namelijk altijd nog een Apple Watch met watchOS 4 of watchOS 4.1 nodig, maar met de komst van iOS 11.2 had een hacker alleen een iPhone nodig. Uiteindelijk werden alle problemen verholpen in iOS 11.2.1 en tvOS 11.2.1, waardoor de berichten die door een hacker of gebruiker verstuurd zijn beter gecontroleerd worden.

Uiteindelijk concludeert Khaos Tian dat Apple met HomeKit een ‘super beveiligde deur gemaakt heeft, maar daarbij de sleutel in het slot liet zitten en was vergeten om de omliggende muren te bouwen’. HomeKit is sinds de komst van iOS 11.2.1 weer veilig voor iedereen te gebruiken, zonder dat een hacker via deze methode toegang kan krijgen tot je woning.

Communicatie met Apple verliep stroef
Het meest opvallende aan dit hele verhaal is dat de communicatie tussen de ontdekker van de bug en het beveiligingsteam van Apple behoorlijk stroef liep. Eind oktober stuurde de ontwikkelaar voor het eerst een melding, waarna hij één antwoord vanuit Apple kreeg. Daarin stond dat Apple het probleem in de maand november verder zou onderzoeken.

Tian liet het er echter niet bij zitten en heeft daarna nog vier mails verstuurd, maar vanuit Apple kwam geen reactie. De ontwikkelaar hoopte dat Apple de bug in iOS 11.2 opgelost had, maar dat bleek zoals eerder gezegd dus niet het geval. Uiteindelijk besloot Tian contact op te nemen met 9to5Mac, waarna de PR-afdeling van Apple uiteindelijk wel in actie kwam en iOS 11.2.1 op 13 december uitgebracht werd.

Een meer technische uitleg van het de reeds opgeloste HomeKit-bug vind je in de Medium-post van Khaos Tian.

Suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!

Informatie

Laatst bijgewerkt 20 december 2017, 11:59
Categorie Achtergrond
Onderwerpen bug, homekit

Reacties zijn gesloten voor dit artikel.