Siri-lek geeft aanvaller toegang tot data op vergrendelde iPhone en Mac
Verschillende kwetsbaarheden in Apples spraakassistent Siri maken het mogelijk voor een aanvaller met fysieke toegang tot een vergrendelde iPhone of Mac om gevoelige informatie te stelen. Apple heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. "Een aanvaller met fysieke toegang kan Siri gebruiken om toegang tot gevoelige gebruikersgegevens te krijgen", aldus de beknopte uitleg van Apple.
In het geval van iOS 17.6 en iPadOS 17.6 gaat het om vier kwetsbaarheden (CVE-2024-40813, CVE-2024-40786, CVE-2024-40818 en CVE-2024-40822). Daarnaast is ook een kwetsbaarheid in VoiceOver verholpen waardoor een aanvaller afgeschermde content op een vergrendelde iPhone of iPad kan bekijken. Twee van de Siri-kwetsbaarheden zijn ook in macOS gepatcht, onder andere door de opties te beperken die op een vergrendeld toestel worden aangeboden. Verdere details over de Siri-kwetsbaarheden zijn niet gegeven.
Tevens heeft Apple in macOS ook de 'regreSSHion' kwetsbaarheid in OpenSSH gepatcht. De mogelijkheid om via SSH op een Mac in te loggen staat standaard uitgeschakeld. Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand op kwetsbare systemen code als root kan uitvoeren.
Mac-gebruikers kunnen updaten naar macOS Monterey 12.7.6, macOS Ventura 13.6.8 of macOS Sonoma 14.6. Voor eigenaren van een iPhone of iPad zijn iOS en iPadOS 16.7.9 en iOS en iPadOS 17.6 verschenen.
Of zou het een 'undocumented feature' zijn bedoeld voor diensten met 3-letterige namen? Nah... dat zou crapple nooooooit doen.
Dat je het over ongevraagde games, toolbars en onbekende apps hebt die niemand gebruikt maar wel je bronnen van je systeem gebruikt, mag je inderdaad bloatware noemen (vooral op Android bijvoorbeeld heb ik daar veel last van gehad).
Via een tool van AVG is die rommel trouwens toch te verwijderen.
Siri kun je wellicht vergelijken met Metallica: de één vindt het teringherrie en een ander (o.a. ik) luistert er graag naar. Een kwestie van afwegingen, bij Metallica gebaseerd op smaak.
Ik wil geen gebruik maken van privacy-invasieve meuk als Siri op mijn iPhone, dus heb ik alles wat ik daarvan kon en kan uitzetten de nek omgedraaid. Ook vanuit beveiligingsoogpunt was dat, voorspelde ik destijds voor mijzelf, en nu achteraf (voor de 1e keer?) gebleken, een verstandige aanpak.
Net zoals *zo min mogelijk* bypasses (camera blijft lastig) en nul informatie op je locked screen toestaan.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Ervaren Chief Information Security Officer (CISO)
Provincie Noord-Holland
Ben jij een ervaren CISO? En wil jij jouw kennis in een andere organisatie delen? Help ons dan onze informatieveiligheid verder te vergroten. Als CISO speel je een sleutelrol in het veilig houden van gegevens en systemen die essentieel zijn voor een leefbare, veilige en duurzame provincie.
Cybersecurity Trainer / Full Stack Developer
Ben je toe aan een nieuwe job waarmee je het verschil maakt? Wil jij je security kennis graag delen en hands-on laten zien hoe cybersecurity in de praktijk echt werkt? Werk je net als wij graag samen met enthousiaste en gedreven collega's? Bij ons geen bureaucratie maar open communicatie en een werkomgeving gericht op samenwerking.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?