Siri-lekken geven opnieuw toegang tot gegevens op vergrendelde iPhone
Kwetsbaarheden in Apples spraakassistent Siri maken het opnieuw mogelijk voor een aanvaller met fysieke toegang tot een vergrendelde iPhone om gevoelige informatie te stelen. Apple heeft beveiligingsupdates uitgebracht om de problemen te verhelpen. "Een aanvaller met fysieke toegang kan Siri gebruiken om toegang tot gevoelige gebruikersgegevens te krijgen", aldus de beknopte uitleg van Apple over een kwetsbaarheid in het toegankelijkheidsonderdeel, aangeduid als CVE-2024-40840.
Twee andere Siri-kwetsbaarheden (CVE-2024-44139 en CVE-2024-44180) maken het mogelijk voor een aanvaller met fysieke toegang om op een vergrendelde iPhone toegang tot contacten te krijgen. Verder zorgt een 'privacyprobleem' in Siri ervoor dat malafide apps toegang tot gevoelige gebruikersgegevens kunnen krijgen. Apple waarschuwt ook voor een beveiligingslek in 'Accessibility' waardoor een aanvaller met fysieke toegang tot een vergrendelde iPhone via het toestel apparaten in de omgeving kan bedienen. Apple heeft de problemen verholpen in iOS en iPadOS 18. In augustus kwam Apple ook al met updates voor verschillende Siri-kwetsbaarheden.
De oudere versies in MacOS worden niet meer ondersteund, dus daar is het raadzaam de functie geheel uit te schakelen in de instellingen.
De oudere versies in MacOS worden niet meer ondersteund, dus daar is het raadzaam de functie geheel uit te schakelen in de instellingen.
Dus wat dit lek in Siri betreft liep en loop ik geen risico.
Je weet wel, die public key cryptografie in de vingerafdruk lezer, faceid, de sleutel van het hardware component etc wat ook als argument werd gebruikt voor het tegenwerken van vervanging en reparatie etc etc etc.
Bsbw… bullshit blijkt weer.
Doe je ogen open mensen. Ook Apple zit vol met fouten. Apple gebuikt de mist techniek. Alles mooi verpakken en iedereen loopt er mee weg. Dat heeft security by obscurity.
Face it, dit is een fout en als iemand de mogelijkheid heeft om niet jouw telefoon te nemen is het wel van iemand anders.
De oudere versies in MacOS worden niet meer ondersteund, dus daar is het raadzaam de functie geheel uit te schakelen in de instellingen.
Er wordt in de reactie waarop je reageert nergens beweerd dat MacOS ook getroffen is door deze kwetsbaarheden. Volgens mij is het meer een advies om dit soort zaken, wanneer je het toch niet gebruikt, voor zover mogelijk uit te schakelen. Het aanvalsoppervlakte verkleinen door het weglaten/uitschakelen van zaken die toch niet gebruikt wordt is altijd een goed idee vanuit een beveiligingsperspectief.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.
Junior DevOps Engineer
Certified Secure is op zoek naar een Junior DevOps Engineer. Deze functie is een stuk interessanter dan de term doet vermoeden! Om jou als potentiële nieuwe collega meteen te laten zien wat we doen hebben we speciaal voor jou een selectie gemaakt van een aantal leuke security challenges. Are you ready for a challenge?
Cybersecurity Trainer / Streamer
Toe aan een nieuwe nieuwe job waarmee je het verschil maakt? In de Certified Secure trainingen laat je deelnemers zien hoe actuele kwetsbaarheden structureel verholpen worden. Ook werk je actief mee aan de ontwikkeling van onze gamified security challenges. Bij het maken van challenges kom je telkens nieuwe technieken tegen, van Flutter tot GraphQL, van Elastic Search tot Kubernetes.
