HomeKit-lek geeft op afstand toegang tot apparaten, Apple brengt fix uit

Een lek in HomeKit zorgt ervoor dat apparaten op afstand bediend konden worden. Apple heeft een tijdelijke fix beschikbaar gesteld en werkt aan een iOS-update met definitieve oplossing.
Gonny van der Zwaag | iCulture.nl - · Laatst bijgewerkt:

Een kwetsbaarheid in iOS 11.2 zorgt ervoor dat kwaadwillenden HomeKit-apparaten op afstand kunnen bedienen. Het lek is van invloed op deursloten, garagedeuren, lampen, thermostaten en andere slimme apparatuur voor in huis. Apple is al bezig met de uitrol van een fix. Een update voor iOS 11.2 zal komende week verschijnen, waarin het probleem definitief moet zijn opgelost.

Zero-day HomeKit-lek

Het gaat om een zero-day HomeKit-lek, waardoor op afstand apparaten met Homekit te bedienen zijn. In de fix die Apple nu bezig is uit te rollen wordt de toegang meteen geblokkeerd, maar het kan er wel voor zorgen dat bepaalde functies de komende tijd niet meer goed werken. De definitieve oplossing in een update van iOS 11.2 moet hiervoor een oplossing bieden.

HomeKit deurslot

De kwetsbaarheid zit niet in specifieke accessoires, maar in het HomeKit-raamwerk zelf. Volgens de website 9to5Mac hebben ze een demonstratie van de hack gekregen, waaruit bleek dat het lastig te reproduceren was. Er zijn geen details vrijgegeven, om te voorkomen dat kwaadwillenden er misbruik van maken. Wel moet er minimaal één iPhone of iPad met iOS 11.2 aanwezig zijn, verbonden met het iCloud-account dat voor HomeKit wordt gebruikt. In eerdere iOS-versies is de kwetsbaarheid niet aanwezig. Apple bevestigde dit ook in een verklaring:

The issue affecting HomeKit users running iOS 11.2 has been fixed. The fix temporarily disables remote access to shared users, which will be restored in a software update early next week.

Schokkender is echter, dat Apple eind oktober al zou zijn ingelicht over de kwetsbaarheid en dat sommige problemen in iOS 11.2 en watchOS 4.2 zijn opgelost, maar niet alle. Ook loste Apple enkele problemen aan de serverkant op.

Wat moet je nu doen?
Ben je HomeKit-gebruiker, dan hoef je geen specifieke actie te ondernemen. De fix wordt op de Apple-servers beschikbaar gesteld en vereist nu dus geen update. Wel moet je aanstaande week meteen de nieuwe iOS-update installeren, zodra deze beschikbaar komt, zodat alle HomeKit-functies weer werken. Anderen in een huishouden die rechten hebben gekregen om HomeKit-functies te gebruiken, kunnen tijdelijk geen apparaten op afstand bedienen.

Hoeveel risico loop je?
De kans dat er misbruik wordt gemaakt van het lek, is vrij klein om een aantal redenen. Ten eerste zijn de instructies om misbruik te maken van het lek niet gepubliceerd. Ten tweede is het vrij ingewikkeld uit te voeren en ten derde heeft Apple het lek al gedicht. Daarnaast speelt mee dat iOS 11.2 nog maar heel kort beschikbaar is, waardoor kwaadwillenden maar een paar dagen de tijd hebben gehad om een aanval te doen. Er zijn ook nog geen concrete gevallen bekend, waarbij daadwerkelijk misbruik is gemaakt van het lek.

HomeKit

Ontdek alles wat je met HomeKit kunt doen, Apple's overkoepelende systeem voor slimme apparaten in huis. HomeKit en de Woning-app zijn de basis van Apple's smart home-platform, waarin je slimme lampen, deursloten, sensoren, raambekleding, camera's en meer aan elkaar kan koppelen en met elkaar kan laten samenwerken. Apparaten met HomeKit-ondersteuning werken ook met Siri. Bovendien werken accessoires die geschikt zijn voor de de smart home-standaard Matter ook compatibel met HomeKit en de Woning-app. Onze belangrijkste artikelen over HomeKit en smart home, overzichtelijk op een rijtje.

HomeKit: Woning-app in iOS 16 met knoppen en tegels

Reacties: 16 reacties

  1. Allemachtig… ze zijn de laatste tijd wel erg aan het slapen bij Apple. De ene blunder na de ander. Ik hoop dat ze eens goed intern orde op zaken gaan stellen.

  2. Fijn te horen dat het word gefixed. @iedereen die nu gaat lopen zeuren, bedenk dat smarthome van chinese meuk accesoires zonder Homekit ondersteuning nooit zo een update zullen krijgen. En dan ben je nog meer genaaid als eindgebruiker.

  3. Tja, tuurlijk worden er wel eens fouten gemaakt. Zelfs onder Jobs. Maar… Apple is inmiddels al járen niet meer wat het was en kwaliteit software is inmiddels ronduit beschamend. Het laat zich gemakkelijk raden wat Apple’s goede voornemens voor 2018 zouden moeten zijn 😁

  4. Even Apeldoorn bellen🤔

  5. Helaas blijk maar weer dat Cook en Co geen (spreekwoordelijke) middelvinger durven op te steken naar de aandeelhouders zoals Steve Jobs dit geregeld deed, zelfs nee zeggen als de aandeelhouders de ene kant op wil terwijl de top van Apple vanuit Steve’s visie de andere kant op wil met producten en diensten*, kwantiteit over kwaliteit lijkt het mantra te zijn bij Apple vandaag de dag, producten op de markt brengen die nog niet af zijn en ga zo maar door. Want het is bekend dat Tim Cook vaker en sneller de meningen van aandeelhouders voor lief lijkt te nemen en minder naar zijn eigen gevoel en dat van zijn directe team lijkt te luisteren.

    Onder Jobs was Apple naar mijn mening stabieler en op software gebiedt werden er minder fouten gemaakt, al waren de fouten die gemaakt werden wel groter, (MobileMe debacle bijvoorbeeld) ze leken in zijn periode elkaar veel minder snel op te volgen en minder op te stapelen.

    (*neem bijvoorbeeld FaceTime en iMessage, toen Steve Jobs die presenteerde bij de launch van de iPhone 4, werd nog met veel bombarie belooft dat Apple dat zou opengooien en het een industrie standaard zou maken, iMessage en FaceTime tussen alle smartphones en aanbieders, mede door druk van de aandeelhouders na zijn overlijden en de rechtszaken van de patenttrol VirnetX is dit er nooit van gekomen omdat Apple, cq Tim Cook gestuurd door de aandeelhouders nooit het lef heeft gehad om FaceTime en iMessage alsnog open te stellen)

  6. Origineel geplaatst door EOTB
    Tja, tuurlijk worden er wel eens fouten gemaakt. Zelfs onder Jobs. Maar… Apple is inmiddels al járen niet meer wat het was en kwaliteit software is inmiddels ronduit beschamend. Het laat zich gemakkelijk raden wat Apple’s goede voornemens voor 2018 zouden moeten zijn 😁

    Inderdaad! Ik heb vandaag ook weer ios 11.2 geïnstalleerd en ik heb nu andere bugs dan voorheen. Het houdt niet op!

  7. Gaat weer lekker Apple👎

  8. @Melvin: Vermeld dan ook welke – dit zegt zo niks

  9. Mooi stukje wat moet je doen heel simpel, gewoon niet je huis smart maken nergens voor nodig.

  10. Ik verwacht de komende tijd nog een hoop zogezegde lekken die eigenlijk helemaal niet zo gevaarlijk zijn (in de aard van: “je kan je passlock van je iPhone omzeilen als je eerst vierentwintig stappen doorloopt die bijna niet te reproduceren zijn om dan in je… foto’s te kunnen kijken.”) maar die in navolging van de root-access-bug allemaal ineens opgeblazen worden tot critical bugs.

  11. Origineel geplaatst door Dennis
    Mooi stukje wat moet je doen heel simpel, gewoon niet je huis smart maken nergens voor nodig.

    Met zo een instelling zaten waren we nog holbewoners. Kortzichtig, jammer.

  12. @Dennis: En alleen je telefoon gebruiken om te bellen zeker?

    Ik vraag me wel af hoeveel kwaad dit kan. Als je slot of alarm via HomeKit werkt, dan is het inderdaad lastig. Verlichting via HomeKit, dan lijkt het me minder schadelijk.

  13. @Paul de Gans: nee en een fototje maken of een whatsappje kijken, maar je hoeft het niet te gebruiken.
    Net zoals mijn Oral B tandenborstel bluetooth heeft, nou geweldig heb 1 keer gekeken daarna weer afgegooid.

  14. Nou ik heb me in november in gekocht in HomeKit met een hue starterkit met 3 lampen en een 4e erbij en twee van die halve schotels en vier elgato eve stekker dozen. Duur dat wel maar nu kan ik met mijn iPad thuis overal alles aan en uit doen of checken. Ik denk dat ik ook nog wel een thermostaat erbij koop. Maar het is jammer dat er geen fitting kits zijn. Mijn huis sterft van het designer licht van Philips zonder hue functionaliteit maar die gaan aan met wandschakelaars. Dus of fitting kits als de elgato eve iov de lampen van Philips want veel lampen passen niet. Of wantcontactdozen die je smart kunt maken zou stoer zijn. Maar alles beter dan klik aan klik uit. Compacter meer instelbaar en met diverse schakel schema’s en kamers. Ik ben er wel een fan van.

    Maar het is wel ***** duur. En:
    De lampen van Philips zijn lomp groot met grote fitting
    Of kleine fitting in flame vorm of insteek spotjes die bijna niet overeen komen met standaard Philips lampen. Jammer. En dat led licht snoer ? Ja leuk 😳
    En die slimme stekkers van elgato top maar wtf 50 euro P/s???
    En je hebt of een iPad nodig of een Apple tv 4 of hoger om je systeem van buiten te bedienen. Waarom niet een iPhone 5s die niks kost of her en der in huis ligt.

    Zo jammer die keuzes van en elgato en Apple en Philips

  15. Nooit zou ik mijn deursloten toegankelijk maken via een clouddienst , enkel en alleen over mijn openvpn server

  16. @Jeroen: Koogeek heeft fitting met homekit. Via Ali Express.
    Fibaro heeft inbouw relay switch met homekit. Werkt perfect.