Een beveiligingsonderzoek genaamd Trevor Spiniolas heeft zojuist informatie over een bug gepubliceerd hij claimt bestaat al sinds versie 14.7 in het iOS-besturingssysteem van Apple.
De bug heeft invloed op de Home app, Apple's domotica-software waarmee je apparaten in huis kunt bedienen - webcams, deurbellen, thermostaten, gloeilampen, enzovoort - die Apple's HomeKit ecosysteem.
Spiniolas heeft de bug genoemd deurslot, waarbij hij zowel een logo als een speciale webpagina gaf en beweerde dat hoewel hij het in augustus 2021 aan Apple onthulde, de pogingen van het bedrijf om het tot nu toe te patchen onvolledig waren, en zijn gespecificeerde deadline van 01 januari 2022 voor "live gaan" met details van de fout heeft nu geslaagd:
Ik ben van mening dat deze bug op ongepaste wijze wordt behandeld, omdat hij een ernstig risico vormt voor gebruikers en er vele maanden zijn verstreken zonder een alomvattende oplossing. Het publiek moet zich bewust zijn van deze kwetsbaarheid en hoe kan worden voorkomen dat deze wordt misbruikt, in plaats van in het ongewisse te blijven.
Je zult zelf moeten beslissen of deze bug echt is “vormt een groot risico”, maar in dit artikel vertellen we je hoe je het probleem toch kunt aanpakken.
Het goede nieuws is dat de bug aanvallers niet toestaat uw telefoon (of uw HomeKit-apparaten) te bespioneren, gegevens zoals wachtwoorden of persoonlijke berichten te stelen, malware te installeren, frauduleuze online kosten in rekening te brengen of te rommelen met uw netwerk.
Er zijn ook enkele eenvoudige manieren om te voorkomen dat je door deze bug wordt gebeten terwijl je wacht tot Apple met een volledige oplossing komt.
Het slechte nieuws is dat als een aanvaller u misleidt om de bug te activeren, u een telefoon kunt krijgen die zo niet meer reageert dat u een firmware-reset om weer in het apparaat te komen.
En zoals u waarschijnlijk al wist – of, als u dat nog niet wist, weet u het nu! - gebruik makend van Apparaatherstel of DFU (een directe firmware-update, waarbij u de firmware van een weerbarstige iDevice volledig opnieuw initialiseert via een USB-kabel) wist automatisch al uw persoonlijke gegevens eerst.
Het wissen van uw gegevens bij het opnieuw initialiseren van het apparaat is een functie, geen bug: het stopt dieven gewoon uw telefoon te grijpen, een harde reset en een eigen DFU uit te voeren en vervolgens de oude gegevens af te lezen van het apparaat dat ze zojuist hebben 'hersteld' '. Het wissen van uw gegevens gaat snel en betrouwbaar omdat mobiele apparaten van Apple uw gegevens altijd versleutelen, zelfs als u geen eigen vergrendelingscode instelt, met behulp van een willekeurig gekozen wachtwoordzin die in een veilige opslag wordt bewaard. Het wissen van alleen deze wachtwoordzin van het apparaat is daarom voldoende om al uw gegevens in één keer onbruikbaar te maken, zonder te hoeven wachten op een overschrijving van alle flashopslag in het apparaat en zonder de onzekerheid of er onversleutelde gegevens zijn achtergebleven.
Welke apparaten worden getroffen?
Spiniolas zegt het niet, maar we gaan ervan uit dat dezelfde bug aanwezig is in iPadOS, die sinds versie 13 afzonderlijk van iOS is geleverd, maar altijd met een overeenkomend versienummer.
We weten ook niet hoe ver deze bug teruggaat: zoals hierboven vermeld, zegt Spiniolas "vanaf iOS 14.7", waarvan we vermoeden dat dit de vroegste versie is die hij heeft kunnen testen.
Apple staat niet toe dat iPhones en iPads worden gedowngraded, om te voorkomen dat potentiële jailbreakers terugkeren naar iOS-versies met bekende bugs om opzettelijk misbruikbare beveiligingslekken opnieuw te introduceren.
Wat veroorzaakt de fout?
Volgens de beschrijving van Spiniolas wordt de bug geactiveerd als de Home-app van Apple een HomeKit-apparaat onder zijn bevoegdheid tegenkomt met een enorm lange naam, bijvoorbeeld 90,000 tekens of meer.
Daardoor klinkt deze bug als een ouderwetse buffer overloop, waar meer gegevens in het geheugen worden opgeslagen dan oorspronkelijk was toegewezen als het "worst-case" scenario, in het beste geval het aanstootgevende programma laten crashen en in het slechtste geval ertoe leiden dat het zich op een beheersbare manier misdraagt.
De eerste uitkomst – een regelrechte crash – leidt doorgaans tot een denial of service (DoS)-bug, waarbij aanvallers opzettelijk een app kunnen laten crashen, mogelijk steeds opnieuw, om ongemak of regelrechte problemen te veroorzaken.
De laatste uitkomst, waarbij aanvallers voldoende controle over de crash behouden om het buggy-programma volledig over te nemen en het lopende programma te vervangen door niet-vertrouwde software van hun eigen keuze, staat bekend als uitvoering van externe code (RCE).
RCE wordt meestal gebruikt om spyware of malware te implanteren en is duidelijk een veel ernstiger gevaar dan DoS.
Op dit moment is er geen suggestie dat de crash van Spiniolas op betrouwbare wijze zou kunnen worden gebruikt voor een volledige RCE-exploit, of zelfs maar dat het zou kunnen leiden tot een RCE.
Maar het feit dat cybercriminelen nu weten waar ze moeten zoeken, maakt deze bug dubbel de moeite waard om te vermijden.
Hoe wordt de bug geactiveerd?
Als je opzettelijk een van de thuisapparaten in je HomeKit-netwerk hernoemt, zodat het een naam heeft van ongeveer 100,000 tekens of meer (Spiniolas gebruikte afwisselend 500,000 en 90,000 tekens in zijn experimenten), zal de Home-app blijkbaar vastlopen wanneer hij vervolgens probeert te handelen met het vreemd benoemde apparaat, en uiteindelijk crashen.
Volgens Spiniolas heeft Apple onlangs de Home-app gepatcht om te voorkomen dat je apparaten hernoemt naar absurd lange namen.
Maar de patch weerhoudt de nieuwste versie van de app er blijkbaar niet van om slecht te reageren op apparaten die al te lange namen hebben, en het weerhoudt onverlaten natuurlijk niet om apparaten te gebruiken die niet zijn gepatcht om apps die dat wel hebben op te vangen.
Spiniolas is niet duidelijk over dit probleem, maar we hebben uit zijn rapport afgeleid dat, hoewel niet-gepatchte versies van de Home-app soms crashen terwijl ze proberen een extra lange HomeKit-apparaatnaam in te stellen, ze soms niet crashen, of pas crashen na de extra lange naam is toegepast. Spiniolas heeft ook laten zien hoe je een eenmalige iOS-app kunt maken die je lokaal op je eigen apparaat kunt installeren, met behulp van een Apple-ontwikkelaarsaccount, om HomeKit-apparaten op een ongereguleerde manier te hernoemen, of je apparaat nu gepatcht is of niet. Dus zelfs als u zelf geen ultralange HomeKit-apparaatnamen kunt instellen, moet u ervan uitgaan dat aanvallers dat wel kunnen.
Problemen met Control Center
Helaas, zegt Spinioloas, als je de Home-app in Apple hebt ingeschakeld controle Center (het altijd beschikbare menusysteem dat u op elk moment kunt openen door vanaf de boven- of onderkant van het scherm te vegen, afhankelijk van uw iPhone-versie), waarna de app automatisch op de achtergrond wordt geladen wanneer u uw telefoon start.
Dit betekent dat uw apparaat in een permanente "lockup-crash-try-again-lockup-crash-ad-infinitum"-lus terecht kan komen, waardoor het onbruikbaar onreagerend blijft voordat u tijd heeft om in de Instellingen menu en verwijder Home uit het Control Center.
Vangst-22!
U kunt de controle over het Control Center terugkrijgen door naar de app Instellingen te gaan; maar u moet eerst de controle over het Control Center terugkrijgen om toegang te krijgen tot de app Instellingen.
Daarom beweert Spiniolas dat de enige uitweg uit het dilemma is om een Recover of een DFU uit te voeren op het niet-reagerende apparaat.
Omdat hierdoor al uw persoonlijke gegevens worden verwijderd, heeft de Home-app geen HomeKit-apparaatnamen meer om weer te geven totdat u zich voor de eerste keer aanmeldt bij uw iCloud-account en uw HomeKit-gegevens opnieuw naar uw telefoon worden gedownload.
Dit geeft je de kans om, voordat je telefoon crash-inducerende HomeKit-apparaatnamen krijgt, toegang te krijgen tot de app Instellingen en de Home-app van het Control Center-scherm te verwijderen.
Wat betreft het hernoemen van aanstootgevende apparaten, zodat je ze weer veilig kunt besturen, suggereert Spiniolas dat je een aangepaste app moet installeren (hij biedt voorbeeldcode die je "op eigen risico" kunt gebruiken op zijn GitHub-pagina) met behulp van een Apple ontwikkelaarsaccount en gebruik die app om de naam te wijzigen.
Wat te doen?
We achten het uiterst onwaarschijnlijk dat je deze bug ooit per ongeluk op je eigen HomeKit-netwerk activeert, aangezien het onwaarschijnlijk is dat je per ongeluk een absurde apparaatnaam in de Home-app kopieert en plakt en vervolgens ook opzettelijk tikt. [Save] om de rare naam toe te wijzen aan uw HomeKit-configuratie.
Dus de meest waarschijnlijke manier om los te komen is ofwel:
- Iemand die je al hebt geautoriseerd om toegang te krijgen tot je HomeKit-netwerk, besluit de bug voor je te activeren. Als u uw vertrouwde buren of familieleden verstandig hebt gekozen (en u erop vertrouwt dat ze hun telefoons beschermen tegen cybercriminelen en zakkenrollers), zou dit risico zeer laag moeten zijn.
- U accepteert een HomeKit-netwerkuitnodiging van iemand wiens eigen netwerk de bug activeert. Ervan uitgaande dat u toegang tot het domoticanetwerk van iemand anders als een belangrijke persoonlijke verantwoordelijkheid beschouwt (wat het ook is!), zou dit risico ook zeer laag moeten zijn.
Met andere woorden, het verminderen van dit probleem is eenvoudig:
- Minimaliseer het aantal mensen dat toegang heeft tot uw HomeKit-netwerk. We raden dit sowieso sterk aan.
- Minimaliseer het aantal HomeKit-netwerken waarvoor u zelf uitnodigingen accepteert. We raden dit sowieso sterk aan.
- Verwijder de Home-app uit het Apple Control Center. Ga naar Instellingen > controle Center > Regelingen aanpassen. Indien Home verschijnt in het
INCLUDElijst, tik op het rode minteken ernaast en tik vervolgens op de rode[Remove]knop die aan de rechterkant verschijnt. (Zie afbeelding hieronder.) - Maak regelmatig een lokale back-up van uw iPhone-gegevens. U kunt dit doen op een Mac- of Windows-computer met iTunes. Op Linux is het nog eenvoudiger: je kunt de
idevicebackup2hulpprogramma om een volledige back-up te maken wanneer u maar wilt. U hebt geen Apple-account nodig om regelmatig lokale kopieën van uw foto's, video's, berichten, audiobestanden enzovoort te bewaren. Als u de gegevens opslaat op een versleutelde verwisselbare schijf, kunt u deze zowel offline als offsite opslaan, en in geval van nood heeft u toegang tot uw iPhone-gegevens zonder dat u een werkende Apple-login of een Apple-apparaat nodig heeft.
Links. Klik op het 'geen toegang'-teken Centrum. Klik op 'Verwijderen' Rechts. Weg!
Volgende stappen
Omdat we zelf geen fan zijn van domotica, hebben we geen iCloud-account of HomeKit-netwerk om mee te oefenen.
Als gevolg hiervan kunnen we je niet adviseren of er een manier is om HomeKit-apparaten te beheren vanuit je browser, of vanaf een niet-Apple-apparaat, wat de buggy Home-app netjes zou omzeilen...
... dus als je een HomeKit-gebruiker bent en suggesties hebt voor andere lezers, laat het ons dan allemaal weten in de reacties hieronder!
