Siri-lek geeft aanvaller toegang tot data op vergrendelde iPhone en Mac
Verschillende kwetsbaarheden in Apples spraakassistent Siri maken het mogelijk voor een aanvaller met fysieke toegang tot een vergrendelde iPhone of Mac om gevoelige informatie te stelen. Apple heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. "Een aanvaller met fysieke toegang kan Siri gebruiken om toegang tot gevoelige gebruikersgegevens te krijgen", aldus de beknopte uitleg van Apple.
In het geval van iOS 17.6 en iPadOS 17.6 gaat het om vier kwetsbaarheden (CVE-2024-40813, CVE-2024-40786, CVE-2024-40818 en CVE-2024-40822). Daarnaast is ook een kwetsbaarheid in VoiceOver verholpen waardoor een aanvaller afgeschermde content op een vergrendelde iPhone of iPad kan bekijken. Twee van de Siri-kwetsbaarheden zijn ook in macOS gepatcht, onder andere door de opties te beperken die op een vergrendeld toestel worden aangeboden. Verdere details over de Siri-kwetsbaarheden zijn niet gegeven.
Tevens heeft Apple in macOS ook de 'regreSSHion' kwetsbaarheid in OpenSSH gepatcht. De mogelijkheid om via SSH op een Mac in te loggen staat standaard uitgeschakeld. Via het beveiligingslek kan een ongeauthenticeerde aanvaller op afstand op kwetsbare systemen code als root kan uitvoeren.
Mac-gebruikers kunnen updaten naar macOS Monterey 12.7.6, macOS Ventura 13.6.8 of macOS Sonoma 14.6. Voor eigenaren van een iPhone of iPad zijn iOS en iPadOS 16.7.9 en iOS en iPadOS 17.6 verschenen.
Of zou het een 'undocumented feature' zijn bedoeld voor diensten met 3-letterige namen? Nah... dat zou crapple nooooooit doen.
Dat je het over ongevraagde games, toolbars en onbekende apps hebt die niemand gebruikt maar wel je bronnen van je systeem gebruikt, mag je inderdaad bloatware noemen (vooral op Android bijvoorbeeld heb ik daar veel last van gehad).
Via een tool van AVG is die rommel trouwens toch te verwijderen.
Siri kun je wellicht vergelijken met Metallica: de één vindt het teringherrie en een ander (o.a. ik) luistert er graag naar. Een kwestie van afwegingen, bij Metallica gebaseerd op smaak.
Ik wil geen gebruik maken van privacy-invasieve meuk als Siri op mijn iPhone, dus heb ik alles wat ik daarvan kon en kan uitzetten de nek omgedraaid. Ook vanuit beveiligingsoogpunt was dat, voorspelde ik destijds voor mijzelf, en nu achteraf (voor de 1e keer?) gebleken, een verstandige aanpak.
Net zoals *zo min mogelijk* bypasses (camera blijft lastig) en nul informatie op je locked screen toestaan.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
