“Een aanvaller met fysieke toegang tot het accessoire kan de Bluetooth-koppelingscode ontfutselen en het Bluetooth-verkeer afluisteren”, is te lezen in het supportdocument van Apple. De update is beschikbaar voor meerdere Magic Keyboard-modellen voor de Mac, waaronder het standaard Magic Keyboard met en zonder numeriek toetsenblok en de modellen met Touch ID. Voor sommige modellen is dit de eerste firmware-update sinds jaren. Ook voor andere accessoires zoals de MagSafe Charger verschijnen wel eens firmware-updates, maar ook die zijn zeldzaam. Meestal houden ze verband met een beveiligingslek – en dat is ook nu het geval.

Magic Keyboard: nieuwste firmware al geïnstalleerd?

Firmware-updates voor het Magic Keyboard worden automatisch geïnstalleerd wanneer het toetsenbord is gekoppeld aan een apparaat met macOS, iOS, iPadOS of tvOS. Je hoeft dus niets te doen. Om te kijken of de nieuwste firmware (in dit geval 2.0.6) al geïnstalleerd is, ga je naar Systeeminstellingen > Bluetooth. Klik vervolgens op het infoknopje naast het toetsenbord. De update werd twee dagen geleden al vrijgegeven en zou nu voor iedereen beschikbaar moeten zijn.

Volgens Apple kon iemand met fysieke toegang tot een Magic Keyboard de Bluetooth-koppelingscode onderscheppen. Deze persoon kon vervolgens het Bluetooth-verkeer (en dus ook de toetsaanslagen) afluisteren. Afgelopen december werd Apple op de hoogte gesteld van het lek door Marc Newlin van SkySafe. Hij wordt in de credits van het lek dan ook genoemd.

Apple’s beveiligingsmelding luidt:

Beschikbaar voor: Magic Keyboard; Magic Keyboard (2021); Magic Keyboard met numeriek toetsenblok; Magic Keyboard met Touch ID; en Magic Keyboard met Touch ID en numeriek toetsenblok. Gevolgen: Een aanvaller met fysieke toegang tot het accessoire kan mogelijk de Bluetooth-koppelingscode ontfutselen en Bluetooth-verkeer monitoren Beschrijving: Een probleem met sessiebeheer werd aangepakt met verbeterde controles. CVE-2024-0230: Marc Newlin van SkySafe

Je kunt het zelf hier nalezen.