Waarom HomeKit veiliger is dan veel andere smart home-oplossingen
· Laatst bijgewerkt:
Het heeft nogal wat voeten in aarde gehad voordat de eerste HomeKit-producten verschenen. Een jaar na de aankondiging waren er nog maar vijf bedrijven die iets konden laten zien. Inmiddels zijn we tweeënhalf jaar verder en weten we in ieder geval dat er vóór het einde van het jaar meer dan 100 HomeKit-geschikte producten zullen zijn. Tim Cook beloofde dat dinsdagavond bij de presentatie van de kwartaalcijfers. Hij maakte meteen bekend dat HomeKit-apparaten niet betrokken zijn geweest bij de grote aanval op smart home-apparaten van afgelopen vrijdag, waardoor grote delen van internet onbereikbaar waren. Heeft Cook wel recht van spreken en is HomeKit écht veel veiliger? Wij hebben het voor je uitgezocht.
Aanval op smart home-apparaten
Bij de aanval van afgelopen vrijdag waren diensten als Twitter, Spotify en PayPal niet meer bereikbaar. De aanvallen waren gericht op Dyn, een bedrijf dat DNS-toegang levert. Volgens Dyn werd de aanval uitgevoerd via alledaagse apparaten zoals babyfoons, webcams en thermostaten die met internet zijn verbonden. Honderdduizenden smart home-apparaten konden op afstand worden overgenomen, waarna ze een gigantisch botnet vormden dat DDoS-aanvallen uitvoerde. Al eerder werd van deze kwetsbaarheid gebruik gemaakt bij aanvallen. Gezamenlijk hebben ze de naam Mirai-malware gekregen. Volgens experts is het een wake-up call voor bedrijven die Internet of Things-accessoires aanbieden en nog niet goed hebben nagedacht over de beveiliging. En misschien realiseren gebruikers zich nu ook dat hun smart home-producten lang niet altijd veilig zijn.
Maar wat stelt Apple daar tegenover?
In ieder geval een zo sterke beveiliging dat fabrikanten lange tijd met hun handen in het haar zaten. Apple’s encryptieprocessen waren zo processor- en geheugenintensief dat het onmogelijk was om goed werkende accessoires te maken. Als het openen van een slim deurslot een minuut duurt omdat er eerst allerlei berekeningen uitgevoerd moeten worden, heb je er niets aan.
Dat is ook precies de reden waarom HomeKit zo traag op gang kwam. Apple heeft HomeKit zo goed dichtgetimmerd en heeft het goedkeuringsproces zo streng gemaakt dat het niet eenvoudig is om eraan mee te doen. Apple laat alleen accessoires toe die gecertificeerd zijn. Volgens Tim Cook lopen HomeKit-apparaten dan ook geen gevaar als het om de Mirai-malware gaat.
Fabrikanten moeten speciale, goedgekeurde chips gebruiken en de apparaten worden uitgebreid getest voordat ze verkocht mogen worden. Voor de draadloze verbinding wordt gebruik gemaakt van Wi-Fi en Bluetooth LE, op voorwaarde dat er encryptie met 3072-bit sleutels wordt gebruikt. Ook is Curve25519 vereist voor het uitwisselen van encryptiesleutels. Wikipedia zegt hierover:
In cryptography, Curve25519 is an elliptic curve offering 128 bits of security and designed for use with the elliptic curve Diffie–Hellman (ECDH) key agreement scheme. It is one of the fastest ECC curves; it is not covered by any known patents, and it is less susceptible to weak random-number generators.
Voor Wi-Fi-apparaten leverden de beveiligingseisen van Apple weinig problemen op, maar bij apparaten die met Bluetooth LE werkten bleek het onwerkbaar. Het genereren en verzenden van beveiligingssleutels kostte te veel tijd. Waarschijnlijk heeft dit bijgedragen aan de vertraging voordat de eerste bruikbare producten op de markt verschenen. Elgato lukte het wel: dit Duitse bedrijf was er al vroeg bij met een serie sensoren die met Bluetooth LE werken én HomeKit-gecertificeerd zijn. Maar het ging niet vanzelf: toen Elgato de eerste prototypes klaar had duurde het 40 seconden om te bepalen of een deur geopend of gesloten was.
https://www.iculture.nl/reviews/elgato-eve-homekit-accessoires/
Producten waren daardoor niet bruikbaar in de praktijk. Als je een minuut moet wachten op een slim deurslot, kun je beter een traditioneel deurslot blijven gebruiken. Apple was ervan op de hoogte en werkte samen met chipmakers Broadcom en Marvell om hun Bluetooth LE-chips aan te passen aan de eisen van Apple.
Elgato wilde daar niet op wachten en nam twee maatregelen. Ze optimaliseerden de firmware en voegden extra geheugen toe aan de chips, om te zorgen dat de zware encryptie-taken sneller uitgevoerd konden worden. Dat beviel zo goed, dat ze afgelopen zomer Elgato Eve Core aankondigden, waarmee andere fabrikanten ook HomeKit-accessoire kunnen maken.
Lange tijd was Elgato de enige partij die accessoires met Bluetooth LE kon uitbrengen. Daarmee hadden ze een voorsprong, want de energiezuinige verbinding is erg populair bij hedendaagse apparaatjes, maar het protocol van Bluetooth LE biedt op zichzelf onvoldoende voorzieningen voor beveiliging.
Andere factoren waardoor HomeKit traag op gang kwam
Er zijn nog meer redenen waarom HomeKit zo traag op gang kwam. Het gebrek aan documentatie werd door veel fabrikanten genoemd: ze wilden wel aan de slag, maar ze wisten niet hoe. Ook speelde mee dat de code van HomeKit buiten proporties was gegroeid waardoor het te veel geheugen vereiste op de relatief kleine, op batterijen werkende apparaatjes. Apple loste het op door flink in de code te gaan schrappen.
Door al die moeilijkheden, de eisen die Apple stelt en de barrières die ze opwerpen, is HomeKit nog lang niet omarmd door alle grote fabrikanten. Er zijn partijen die niet meedoen, bijvoorbeeld omdat ze het te veel werk vinden. Er zijn ook partijen die vinden dat ze hun eigen beveiliging al prima op orde hebben. En daarnaast zijn er partijen die zelf marktleider zijn op een bepaald gebied en vinden dat Apple zich maar moet aanpassen. Het geldt bijvoorbeeld voor HomeWizard en Luxaflex, die om uiteenlopende redenen niet meedoen. Wel van de partij zijn onder andere Philips, iHome, Velux, Canary, Withings, D-Link, August, Honeywell, Ecobee en uiteraard Elgato.
Veel gedoe
De terughoudendheid bij sommige bedrijven is wel te begrijpen. Als fabrikant moet je behóórlijk gemotiveerd zijn om mee te doen aan het HomeKit-programma. Het kost geld om Apple’s speciale authenticatie-chip in te bouwen, je moet Apple een vergoeding betalen voor elk verkocht product en het product moet uitgebreide tests doorstaan om te worden goedgekeurd. Dat kan zoveel tijd in beslag nemen, dat de concurrentie je inmiddels heeft ingehaald. Bedrijven moeten meerdere prototypes inleveren bij Apple om te worden getest. Daarmee lopen ze het risico dat hun nieuwe productideeën vroegtijdig uitlekken. En omdat er nog weinig grote aanvallen op smart home-toepassingen zijn geweest, is er bij de fabrikanten niet zoveel bezorgdheid over de beveiliging. Hopelijk verandert dat na de Mirai-aanvallen en laten gebruikers de slecht beveiligde (maar wel vaak goedkopere) spullen voortaan links liggen.
Taalfout gezien of andere suggestie hoe we dit artikel kunnen verbeteren? Laat het ons weten!
Het laatste nieuws over Apple van iCulture
- Nanoleaf Pegboard Desk Dock: slimme verlichting én organisatie voor je bureau (16-04)
- Beats heeft nu ook eigen oplaadkabels: nuttige toevoeging of niet? (15-04)
- Nieuwe Chipolo POP is een kleurrijk AirTag-alternatief met twee grote voordelen (15-04)
- Robotstofzuigers werken nu met HomeKit: dit zijn de eerste ondersteunde modellen (02-04)
- 'IKEA werkt aan BILRESA: dubbele knoppen met Matter en Thread voor je smart home' (27-03)
HomeKit
Ontdek alles wat je met HomeKit kunt doen, Apple's overkoepelende systeem voor slimme apparaten in huis. HomeKit en de Woning-app zijn de basis van Apple's smart home-platform, waarin je slimme lampen, deursloten, sensoren, raambekleding, camera's en meer aan elkaar kan koppelen en met elkaar kan laten samenwerken. Apparaten met HomeKit-ondersteuning werken ook met Siri. Bovendien werken accessoires die geschikt zijn voor de de smart home-standaard Matter ook compatibel met HomeKit en de Woning-app. Onze belangrijkste artikelen over HomeKit en smart home, overzichtelijk op een rijtje.
- Alles over HomeKit
- HomeKit handleiding voor nieuwe gebruikers
- HomeKit-producten in Nederland
- Woning-app van HomeKit gebruiken
- De beste HomeKit-tips
- De beste HomeKit-apps
- HomeKit deursloten
- HomeKit-camera's
- Slimme stekkers met HomeKit
- HomeKit-knoppen
- Rookmelders met HomeKit
- HomeKit routers
- HomeKit bedienen op verschillende manieren
- Slimme luchtreinigers met HomeKit
- HomeKit deurbellen met video
- Garagedeur bedienen met HomeKit en Siri
- Bewegingssensoren voor HomeKit
Ook interessant
Robotstofzuigers werken nu met HomeKit: dit zijn de eerste ondersteunde modellen
Deze nieuwe binnencamera van Netatmo focust op privacy (maar met een grote HomeKit-beperking)
HomeKit-certificaat nu gemakkelijker te krijgen dankzij Matter
Yale Linus L2-slot werkt nu met HomeKit dankzij Matter-update: zo stel je het in
Kerstverlichting geschikt maken voor HomeKit: dit zijn je opties
Eufy brengt nieuwe 4K binnencamera met HomeKit uit (maar in de Apple Woning-app zie je alleen 1080p)
Alleen jammer dat homekit de helft van de tijd m’n verlichting vergeet aan/uit te zetten.
@Bones: Wordt er minder snel ingebroken en is ook hiermee weer veiliger 😛
Haha it’s not a bug, it’s a feature!
Begrijp echt niks van dat Home-kit. Ik heb Philips Hue lampen en deze zijn blijkbaar ook home-kit accessoires. Dus ik kan ze ook bedienen met de (niet erg fijne) woning-app. Maakt het gebruik van die app ze dan opeens ‘veiliger’? Vind het maar een vreemd verhaal!
Iemand die dit voor mij kan verduidelijken? Alvast bedankt 🙂
Ik heb een Honeywell Lyric T6 thermostaat. Maar in de HomeKit app is het alleen mogelijk om per graden te veranderen. Terwijl op de thermostaat dit per halve graden mogelijk is.
@AndreC: Goed om te weten. Ik wilde de T6 kopen maar 21 graden is bij ons te warm en 20 graden voelt op een of andere manier snel te koud aan. Ik wacht dus nog even met de aanschaf.
Het wordt met uit dit artikel niet duidelijk of homekit strenge regels heeft wie er bij een apparaat mag komen en dingen mag instellen.
De problemen ontstaan ook omdat de software van IOT apparaten nauwelijks wordt bijgewerkt (en de beveiligingslekken zich opstapelen).
Een van de problemen is naar internet toe bij dit soort apparaten via UPnP gaat. Dat is een protocol wat automatisch toegang opent op je router zodat communicatie van buitenaf (vanaf internet) naar binnen (de smart apparaten in dit geval) wordt opengezet.
Meestal is dat een bron van ellende want tenzij je die apparaten hebt voorzien van goede toegangscontrole en beveiliging weet je dus niet wat het apparaat allemaal naar buiten toe uitspookt en open zet.
Mensen hangen een ding in hun netwerk en willen er direct van buitenaf bij. Dat het niet veilig gebeurt en dat er ook allerlei andere dingen naar buiten open worden gezet interesseert ze geen moer. Want ja je kan ook geen UPnP gebruiken (goed idee), en dingen zelf inregelen.
Een tijdje terug was er nog wat te doen over mensen die een nas kochten van lacie die met UPnP de toegang naar internet openzette. Hackers konden zonder wachtwoord bij alle (vertrouwelijke) documenten op de schijf.
@erik-jan:
Mee eens! De meeste mensen beveiligen hun (Windows) pc goed, maar kijken vaak niet naar alle andere apparaten op het netwerk (smart tv, allerlei soorten domotica, etc) die mogelijk allerlei deurtjes openzetten
Misschien moeten ze dat beveiligen ook wat simpeler maken, want voor een leek die tegenwoordig wordt gebombardeerd met allerlei IoT-producten is het bijna niet te doen.
Ik vind het zelf ook erg omslachtig: soms moet je inloggen op een exact ip-adres en daar dan in een soort dos-omgeving je ding doen.
Ik heb dit reeds gemeld bij Honeywell, ze hebben er een ticket voor aangemaakt. Je kunt de Lyric t6 ook gewoon via hun eigen app bedienen. Die werkt wel perfect, dus zal wel een Apple foutje zijn. Ook de geofence functie werkt uitstekend. Ik zou daar de koop niet van af laten hangen. Verder een perfect product zoals we dat van Honeywell gewend zijn. Ik kom van de Nest 2 en 3 af. Ziet er keurig uit maar qua functioneren kan die niet tippen aan de Honeywell. De Honeywell blijft keurig moduleren op de ingestelde temperatuur. Bij de Nest was dit niet het geval. 20 ingesteld maar liep vaker op naar 21 en koelde weer af tot 19.5. Ze zeggen dat hij Opentherm ondersteunt maar de daadwerkelijke werking heeft heel veel weg van aan/uit, dit terwijl hij wel als Opentherm aangesloten was. Heel oncomfortabel kan ik je zeggen. De Honeywell Lyric T6 op de zelfde wijze gemonteerd (Opentherm) en die blijft keurig de gehele dag de ingestelde temperatuur behouden. Wat ook opviel vanaf het eerste uur was dat bij de Honeywell de radiatoren de gehele dag lauw of warm bleven en bij de nest was het heet of koud. Ook qua energie verbruik wint de Honeywell het. Dat is het handige van een slimme meter, kun je per dag bekijken wat het verbruik is geweest.
Heb ik ook last van… tip: heb een extra regel in de Philips Hue-app toegevoegd die dat alsnog dagelijks ‘rechttrekt’.
Wat ik wel heeel toevallig vond dat m’n Hue lampen nergens meer op reageerde die avond/nacht van de hack/aanval. Heb ’s ochtends de Hue bridge uit-aan moeten zetten. Niemand anders last van gehad?
Even voor de mensen die aangeven dat Hue hun lampen vergeet uit te zetten.. Dit probleem heb ik ook gehad, vaak waren ze via de home app niet te bereiken enz. dit probleem heb ik opgelost door mijn Homebridge met Nest thermostaat eruit te halen en deze te vervangen voor een originele homekit thermostaat. Sinds dien werkt het systeem subliem!