HomeKit-lek geeft op afstand toegang tot apparaten, Apple brengt fix uit

Een kwetsbaarheid in iOS 11.2 zorgt ervoor dat kwaadwillenden HomeKit-apparaten op afstand kunnen bedienen. Het lek is van invloed op deursloten, garagedeuren, lampen, thermostaten en andere slimme apparatuur voor in huis. Apple is al bezig met de uitrol van een fix. Een update voor iOS 11.2 zal komende week verschijnen, waarin het probleem definitief moet zijn opgelost.

Zero-day HomeKit-lek

Het gaat om een zero-day HomeKit-lek, waardoor op afstand apparaten met Homekit te bedienen zijn. In de fix die Apple nu bezig is uit te rollen wordt de toegang meteen geblokkeerd, maar het kan er wel voor zorgen dat bepaalde functies de komende tijd niet meer goed werken. De definitieve oplossing in een update van iOS 11.2 moet hiervoor een oplossing bieden.

De kwetsbaarheid zit niet in specifieke accessoires, maar in het HomeKit-raamwerk zelf. Volgens de website 9to5Mac hebben ze een demonstratie van de hack gekregen, waaruit bleek dat het lastig te reproduceren was. Er zijn geen details vrijgegeven, om te voorkomen dat kwaadwillenden er misbruik van maken. Wel moet er minimaal één iPhone of iPad met iOS 11.2 aanwezig zijn, verbonden met het iCloud-account dat voor HomeKit wordt gebruikt. In eerdere iOS-versies is de kwetsbaarheid niet aanwezig. Apple bevestigde dit ook in een verklaring:

The issue affecting HomeKit users running iOS 11.2 has been fixed. The fix temporarily disables remote access to shared users, which will be restored in a software update early next week.

Schokkender is echter, dat Apple eind oktober al zou zijn ingelicht over de kwetsbaarheid en dat sommige problemen in iOS 11.2 en watchOS 4.2 zijn opgelost, maar niet alle. Ook loste Apple enkele problemen aan de serverkant op.

Wat moet je nu doen?
Ben je HomeKit-gebruiker, dan hoef je geen specifieke actie te ondernemen. De fix wordt op de Apple-servers beschikbaar gesteld en vereist nu dus geen update. Wel moet je aanstaande week meteen de nieuwe iOS-update installeren, zodra deze beschikbaar komt, zodat alle HomeKit-functies weer werken. Anderen in een huishouden die rechten hebben gekregen om HomeKit-functies te gebruiken, kunnen tijdelijk geen apparaten op afstand bedienen.

Hoeveel risico loop je?
De kans dat er misbruik wordt gemaakt van het lek, is vrij klein om een aantal redenen. Ten eerste zijn de instructies om misbruik te maken van het lek niet gepubliceerd. Ten tweede is het vrij ingewikkeld uit te voeren en ten derde heeft Apple het lek al gedicht. Daarnaast speelt mee dat iOS 11.2 nog maar heel kort beschikbaar is, waardoor kwaadwillenden maar een paar dagen de tijd hebben gehad om een aanval te doen. Er zijn ook nog geen concrete gevallen bekend, waarbij daadwerkelijk misbruik is gemaakt van het lek.