Siri-lek geeft aanvaller toegang tot data op vergrendelde iPhone en Mac
Verschillende kwetsbaarheden in Apples spraakassistent Siri maken het mogelijk voor een aanvaller met fysieke toegang tot een vergrendelde iPhone of Mac om gevoelige informatie te stelen. Apple heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. "Een aanvaller met fysieke toegang kan Siri gebruiken om toegang tot gevoelige gebruikersgegevens te krijgen", aldus de beknopte uitleg van Apple.
In het geval van iOS 17.6 en iPadOS 17.6 gaat het om vier kwetsbaarheden (CVE-2024-40813, CVE-2024-40786, CVE-2024-40818 en CVE-2024-40822). Daarnaast is ook een kwetsbaarheid in VoiceOver verholpen waardoor een aanvaller afgeschermde content op een vergrendelde iPhone of iPad kan bekijken. Twee van de Siri-kwetsbaarheden zijn ook in macOS gepatcht, onder andere door de opties te beperken die op een vergrendeld toestel worden aangeboden. Verdere details over de Siri-kwetsbaarheden zijn niet gegeven.
Tevens heeft Apple in macOS ook de 'regreSSHion' kwetsbaarheid in OpenSSH gepatcht. De mogelijkheid om via SSH op een Mac in te loggen staat standaard uitgeschakeld. Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand op kwetsbare systemen code als root kan uitvoeren.
Mac-gebruikers kunnen updaten naar macOS Monterey 12.7.6, macOS Ventura 13.6.8 of macOS Sonoma 14.6. Voor eigenaren van een iPhone of iPad zijn iOS en iPadOS 16.7.9 en iOS en iPadOS 17.6 verschenen.
Of zou het een 'undocumented feature' zijn bedoeld voor diensten met 3-letterige namen? Nah... dat zou crapple nooooooit doen.
Dat je het over ongevraagde games, toolbars en onbekende apps hebt die niemand gebruikt maar wel je bronnen van je systeem gebruikt, mag je inderdaad bloatware noemen (vooral op Android bijvoorbeeld heb ik daar veel last van gehad).
Via een tool van AVG is die rommel trouwens toch te verwijderen.
Siri kun je wellicht vergelijken met Metallica: de één vindt het teringherrie en een ander (o.a. ik) luistert er graag naar. Een kwestie van afwegingen, bij Metallica gebaseerd op smaak.
Ik wil geen gebruik maken van privacy-invasieve meuk als Siri op mijn iPhone, dus heb ik alles wat ik daarvan kon en kan uitzetten de nek omgedraaid. Ook vanuit beveiligingsoogpunt was dat, voorspelde ik destijds voor mijzelf, en nu achteraf (voor de 1e keer?) gebleken, een verstandige aanpak.
Net zoals *zo min mogelijk* bypasses (camera blijft lastig) en nul informatie op je locked screen toestaan.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Information Security Officer
Ben jij de Information Security Officer met hart voor de zorg? Wil je een bijdrage leveren aan Informatiebeveiliging binnen het Erasmus MC? Word onderdeel van ons team! Samen met de CISO en een team van Information Security Officers zorg je ervoor dat informatiebeveiliging en gegevens-bescherming binnen Erasmus MC de benodigde aandacht krijgt.
GRC Officer
Als digitaal knooppunt hebben wij te maken met veel verschillende opdrachtgevers en klanten in het zorgveld. Deze opdrachtgevers en klanten vertrouwen erop dat de onze dienstverlening veilig is en continu voldoet aan alle (voortdurende wijzigende) relevante wet- en regelgeving. Als GRC Officer ben jij op de hoogte van die wet- en regelgeving en weet je de vertaalslag te maken naar de praktijk van VECOZO.
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.