Vul hieronder je gebruikernaam en wachtwoord in.

Serieuze hack voor Sierra en High Sierra openbaar gemaakt

035

Een hacker met de alias Siguza heeft een kwetsbaarheid in macOS openbaar gemaakt, die het voor een kwaadwillenden mogelijk maakt het systeem volledig over te nemen. Standaard werkt deze hack op Sierra 10.12 tot High Sierra 10.13.1, maar met een aanpassing kan die ook werken in High Sierra 10.13.2.

Dit beveiligingslek zou al langer bij Apple bekend zijn, voor zover bekend werd daar gedacht dat dit probleem al helemaal was opgelost. Volgens Siguza zou Apple deze beveiligingsupdate niet hebben geverifieerd, zoals op Hacker News te lezen is.



Als het voorgaande allemaal klopt, dan betekent dit dat ook de meest recente versie van macOS kwetsbaar is. Het beveiligingslek is gevonden in IOHIDFamily, een kernel-elextensie die wordt gebruikt voor human interface devices (HID). Via de kwetsbaarheid kan een gebruiker zonder verdere rechten code met kernel-rechten uitvoeren. De onderzoeker maakte de kwetsbaarheid en bijbehorende exploit openbaar op nieuwjaarsavond, kennelijk heeft hij weinig warme gevoelens richting Apple en we zijn benieuwd of Apple Legal dit muisje nog een staartje gaat geven.

Wat betekent dit voor ons

Tussen het publiceren van een hack en het uitbrengen van software dat van zo'n hack ook echt gebruik maakt zit altijd enige tijd, de kans dat Apple voordat het zover is al een nieuwe update heeft klaarstaan die dit probleem ook oplost lijkt erg groot. In de tussentijd geldt hetzelfde advies dat altijd al van kracht is: houdt je verstand er altijd bij als je programma's en bestanden van het internet naar binnen haalt, zeker als het gaat om sites met niet zo'n goede reputatie.

Daarbij ben je beter beschermd als je kiest voor de eerste of de tweede keuze in Systeemvoorkeuren > Beveiliging en privacy > Algemeen. De eerste optie daar is dat je alleen maar toestemming geeft om programma's te gebruiken die uit de Mac App Store komen, de tweede optie voegt daar ontwikkelaars waar de identiteit van bekend is aan toe, zoals je in de afbeelding hierboven kan zien.

Meer over deze hack is te lezen op deze pagina van security.nl



met dank aan forumlid 'iEscape', die dit nieuws als eerste meldde op ons forum

Reacties

02 januari 2018 Een ware MacFreak!

Dank je voor deze waarschuwing, iEscape!

ikzelf, mogelijk forumlid Cyrano en wellicht enkele anderen zullen deze op prijs kunnen stellen.

Schrik echter niet als je hiervoor op je kop krijgt als onheilsprofeet van vele anderen hier!

https://developer.apple.com/library/content/documentation/DeviceDrivers/Conceptual/HID/intro/intro.html

02 januari 2018 Gevorderd Lid

Dank voor de heads-up.
Vooral voor de link naar het originele artikel, daar zit veel informatie plus links. De reacties daaronder zijn zeer de moeite waard om te lezen.

Een van de vele interessante links (voor programmeurs) is dus deze, die de exploit beschrijft:
https://siguza.github.io/IOHIDeous/

Tevens geeft hij (de ontdekker van de exploit) gebruikers het advies om geen onbetrouwbare software uit te voeren...

Ik gebruik de HIDManager API veel. Gelukkig voor jullie is 95% van mijn code voor In-House gebruik ;-)

02 januari 2018 Gevorderd Lid

@Spooter: er is een update op de pagina die IEscape geeft: "Siguza meldt op Hacker News dat de meest recente versie van macOS (10.13.2) nog steeds kwetsbaar is. Alleen de exploit van de onderzoeker werkt niet meer op deze versie "out of the box". Hij merkt echter op dat het mogelijk is om de exploit aan te passen zodat de aanval wel op macOS 10.13.2 kan worden uitgevoerd."

02 januari 2018 Een ware MacFreak!


Citaat: HEXDIY om 4:37, 2-01-2018
Dank je voor deze waarschuwing, iEscape!
Schrik echter niet als je hiervoor op je kop krijgt als onheilsprofeet van vele anderen hier!


Prima posting, iEscape, met duidelijke verwijzingen naar de bron. (Opmerking: dit draadje begon als een posting van iEscape op het forum; nu het een nieuwsbericht is geworden, is de OP tekst aangepast.)

Punt is wel: wat heeft de gemiddelde gebruiker aan deze informatie? Een 'dank voor de waarschuwing' is één, maar wat is stap twee? Kext IOHIDFamily weggooien? Geen software meer downloaden? Mac uitzetten?
Zeg het maar: wat moeten 'we' nu doen?


Citaat: rt om 10:30, 2-01-2018
Tevens geeft hij (de ontdekker van de exploit) gebruikers het advies om geen onbetrouwbare software uit te voeren...


Zie ik nou een open deur open staan?
Want dit advies wordt al 15 jaar gegeven, vanwege duidend-en-één goede redenen. Hebben we nu reden duizend-en-twee, dat wel.

02 januari 2018 Een ware MacFreak!

voor mij als gebruiker is het belangrijk om te weten hoe (on)veilig mijn software is.
Als het aan de software ligt dat iemand mijn computer kan overnemen zal de desbetreffende ontwikkelaar deze fout moeten herstellen en tot die tijd een waarschuwing moeten doen uitgaan.

Mijn eigen verantwoordelijkheid is gezond verstand, geen onbetrouwbare software/updates binnen halen etc. Maar het kan niet zo zijn dat het alleen maar software uit de appstore mag zijn!

Interessant om te weten is, waarom het zolang duurt voordat apple dit probleem heeft opgelost.

02 januari 2018 MacFreak Verslaafde

Is dit nu gevaarlijk voor iedere gebruiker of alleen als je iets stoms doet? Ik ben niet zo technisch of is dit bericht alleen bedoeld voor degenen die er verstand van hebben?

Citaat: rt om 14:10, 02-01-2018
Tevens geeft hij (de ontdekker van de exploit) gebruikers het advies om geen onbetrouwbare software uit te voeren...


Wat is dat dan, onbetrouwbare software? Zover ik uit dit draadje begrijp is dat bijvoorbeeld de systeemsoftware van Apple.

02 januari 2018 Een ware MacFreak!

Citaat: Flix om 14:14, 02-01-2018
Punt is wel: wat heeft de gemiddelde gebruiker aan deze informatie?


Die heeft er niets aan en en gaat mij weer mailtjes sturen uit ongerustheid en niet weten wat hij nog mag doen of niet, want hij heeft in het nieuws gelezen dat er weer een lek is.
Alleen de techneuten hebben wat aan deze informatie

Citaat: Flix om 14:14, 02-01-2018

Zie ik nou een open deur open staan?
Want dit advies wordt al 15 jaar gegeven, vanwege duidend-en-één goede redenen. Hebben we nu reden duizend-en-twee, dat wel.


Op naar reden duizend-en-drie. Hebben de techneuten weer voer om de vingers bij af te likken.

03 januari 2018 MacFreak Veteraan

Er komt nog meer ellende aan:
Plaats hier de link tekst...

04 januari 2018 MacFreak Verslaafde

Mackeeper heeft al een payload voor dit gat...

05 januari 2018 Een ware MacFreak!

Citaat: HEXDIY om 14:07, 02-01-2018
Dank je voor deze waarschuwing, iEscape!

ikzelf, mogelijk forumlid Cyrano en wellicht enkele anderen zullen deze op prijs kunnen stellen.


De alarm sirenes mogen bijna weer uit. Zie:
https://tweakers.net/nieuws/133557/apple-brengt-binnenkort-software-updates-voor-spectre-kwetsbaarheid-uit.html?nb=2018-01-05&u=2200

05 januari 2018 MacFreak Verslaafde

Alweer fout.

Het artikel van Tweakers gaat over de andere twee problemen: Spectre en Meltdown, niet over IOHIDeous, dat erger is en nu blijkbaar vergeten wordt.

06 januari 2018 Een ware MacFreak!

Citaat: cyrano om 22:31, 05-01-2018
Alweer fout.


Ja, verschrikkelijk zeg, voorbarig van mij te zeggen dat de alarm sirenes bijna weer uit mogen. We zetten het dreigingsniveau weer op 4.
Je weet wel: Niveau 1. Niveau 2. Niveau 3. Niveau 4. Dreigingsniveau 4 wil zeggen dat de dreiging nabij en zeer waarschijnlijk is. Dreigingsniveau 3 wil zeggen dat er een mogeijke dreiging is.

Om de gemiddelde Apple gebruikers niet Paranoia te laten worden misschien toch effe dit citeren uit recent artikel: https://www.onemorething.nl/2018/01/meltdown-en-spectre-apple-gebruikers/

citaat:
"Wat moet je in de tussentijd doen?
Dit weekend maar geen iPhone, iPad of MacBook gebruiken? Dat is overdreven, maar let wel goed op. Het is goed om de laatste iOS- en macOS-updates te installeren. Installer geen apps die uit een onbekende bron komen, want zolang je geen kwaadaardige app binnenlaat kan ook niets de nieuwe lekken gebruiken
."

06 januari 2018 Een ware MacFreak!

Oh jee, nog vergeten, mijn citeren uit het artikel op onemorething is niet volledig. Dit moet er nog bij:

"Bij het surfen op je Mac is het verstandig om voorlopig Firefox te gebruiken. Deze browser heeft als eerste maatregelen tegen Spectre ingevoerd. Op iOS heb je geen keuze, omdat Chrome en Firefox slechts een schil om Safari zijn. Als de kwaadaardige code al via de browser binnenkomt, is het waarschijnlijk via javascript via advertentienetwerken. Het kan geen kwaad om (tijdelijk) een adblocker in te schakelen op iOS. Ja, we riskeren daar een deel van onze eigen inkomsten mee, maar f*** it, jouw veiligheid is het belangrijkst."

06 januari 2018 Een ware MacFreak!

Citaat: cyrano om 22:31, 05-01-2018Het artikel van Tweakers gaat over de andere twee problemen: Spectre en Meltdown, niet over IOHIDeous, dat erger is en nu blijkbaar vergeten wordt.


Ik heb je niet goed gelezen cyrano, excuus.
IOHIDeous is dus nog erger en vergeten. Wat moeten we daar in tussentijd voor doen?

06 januari 2018 MacFreak Verslaafde

Voor IOhideous heb ik geen raad, sorry. Dat zit heel diep in OSX. Een goede oplossing moet van Apple zelf komen.

Van Meltdown hoef je je als gewone gebruiker niet veel aan te trekken. De onderwereld heeft het al opgegeven als te moeilijk.

Spectre is een ander geval. Het is exploiteerbaar via de browser, met Javascript. Firefox heeft al beveliging in de laatste versie. In Chrome kan je die aanzetten in recente versies en 23 januari komt een nieuwe versie uit die de beveliging standaard heeft. Dat kost wel wat snelheid, maar heel erg is 't niet.

Je kan ook javascript uit zetten, maar dat werkt niet voor mij. Teveel dingen die 't zonder niet doen...

En kijk uit voor phishing, via mail en natuurlijk voor dubieuze apps, incl. die van de appstore.

07 januari 2018 Een ware MacFreak!

Citaat: cyrano om 14:33, 06-01-2018
Je kan ook javascript uit zetten,


java script hebben we in de geschiedenis nog is moeten uitzetten tijdelijk.

Citaat: cyrano om 14:33, 06-01-2018
maar dat werkt niet voor mij. Teveel dingen die 't zonder niet doen....


Da's dus een dillema

Citaat: cyrano om 14:33, 06-01-2018
En kijk uit voor phishing, via mail en natuurlijk voor dubieuze apps, incl. die van de appstore.


Da's niks nieuws onder de zon.

07 januari 2018 Een ware MacFreak!

correctie: dubieuze apps, incl. die van de appstore, zijn natuurlijk wel wat nieuws. Maar hoe weet men of een app gekocht in de appstore dubieus is?
Zou Apple het weten? Denk het niet want anders zouden ze al wel uit de store gehaald zijn.

07 januari 2018 Een ware MacFreak!

Apple weet dat niet. Ze checken dat niet. Punt ander lijn.

De Appstore is een rommeltje, trouwens.

07 januari 2018 MacFreak Verslaafde

De appstore is een gemiste kans. Er is alleen gedacht aan Apple's belang.

Om maar een paar dingen te noemen:

- De zoekfunctie is erg slecht.
- Je kan geen tekst kopieren

Hoe heeft dat met security te maken?

Als een app glorieuze reviews heeft, is het altijd interessant om even te kijken of die ook elders voorkomen. Dan selecteer je een flink stuk tekst van die review n gooit dat in je favoriete zoekmotor. Komt datzelfde stuk tekst op veel andere plaatsen net hetzelfde voor, heb je te maken met een fake review. Het is dan zeer waarschijnlijk geplaatst door een onderbetaalde medemens in opdracht van een marketing operatie.

Doordat je niet echt kan zoeken, moet de eindgebruiker zowel als de developer van een app erop vertrouwen dat Apple alles doet voor de promotie van een app. Dat dit niet werkt, is heel duidelijk. Er zijn teveel apps en veel van wat komt bovendrijven, teert op dubieuze marketing campagnes buiten de appstore.

Zeobit (makers van Mackeeper) is daar een mooi voorbeeld van. Ze hebben honderden sites, tientallen producten, maar 't is allemaal fake. Nu heeft Zeobit onder die naam geen producten meer in de appstore, maar ze zijn zeker onder andere namen aanwezig. Zeobit bestaat niet meer, Mackeeper nog wel.

Daar is door bonafide developers al lang en hard over geklaagd, maar Apple blijft doof.

08 januari 2018 Een ware MacFreak!

Wat vreemd, ik heb sinds enige tijd in de Systeemvoorkeuren > Beveiliging en privacy, maar twee keuzes en kan niet kiezen voor “Elke willekeurige bron”.

08 januari 2018 Een ware MacFreak!

Sinds Sierra is dat zo.
Maar je kunt probleemloos deze software wel downloaden en installeren, dus no sweat.

Ik vermoed dat Apple in de gaten kreeg dat mensen een keer de knop op 'elke bron' hadden gezet, en dat nooit meer terug zette (bij gebrek aan inzicht en kennis) waardoor de hele beveiliging van Gatekeeper zinloos was.

Zet al dat geneuzel van Gatekeeper, dat toch weinig waard blijkt, uit met de terminalopdracht:

sudo spctl --master-disable


Mocht je toch deze (schijn)veiligheid aan willen hebben staan kun je deze opdracht gebruiken:

sudo spctl --master-enable

08 januari 2018 MacFreak Verslaafde

Gatekeeper is waardeloos. Er zijn elvendertig methodes om het te bypassen.

Het enige wat het oplevert, is een vals gevoel van veiligheid...

08 januari 2018 Een ware MacFreak!

ok, nu mag het alarm wel afgeblazen worden.
De beveilingsupdate voor macOS is. Hierdoor is het voor malafide apps niet meer mogelijk om het geheugen van andere apps af te luisteren.

Tot de volgende storm in een glas water alweer.

08 januari 2018 MacFreak Verslaafde

Dit zijn patches voor Spectre voor High Sierra, Sierra en El Capitan. Nog niet voor Meltdown.Die komen in SecUpdate 2018-001. Alleen voor HS? Of worden de andere twee niet getest?

En de nieuwe Safari heeft dezelfde versie als de vorige... (11.0.2)

@boni, Apple heeft het over 'mitigation' van de kwetsbaarheid voor Spectre. Dat is heel wat anders dan een oplossing voor dit probleem.
Deze storm is dan ook zeker nog niet voorbij.

09 januari 2018 Een ware MacFreak!

Citaat: peerzwart om 08:46, 09-01-2018
@boni, Apple heeft het over 'mitigation' van de kwetsbaarheid voor Spectre.


peerzwart, ik bezoek al 15 jaar dit forum dagelijks. Security issue's houden mij niet echt bezig, ik heb er al honderden zien voorbijkomen, geen één van hen is nooit opgelost geraakt. Binnen een tijdje hoor je van deze ook niet meer.

09 januari 2018 Een ware MacFreak!

Citaat: cyrano om 23:22, 08-01-2018
...Nog niet voor Meltdown.


Klinkt wel zeer ernstig hé, alsof de atoomreactor op smelten staat. Deuren en venster dicht houden maar en luisteren naar boodschappen van de regering via gewone radio en TV.

09 januari 2018 MacFreak Verslaafde

Citaat: ik heb er al honderden zien voorbijkomen, geen één van hen is nooit opgelost geraakt.



Dat zou je nog kunnen verbazen. Ik heb ooit eens een lijstje gemaakt voor Mavericks. Daar blijven zo'n 70 onopgeloste gaten in zitten, waarvan sommige remote exploiteerbaar.

Gelukkig update de gemiddelde Mac gebruiker snel naar 't allernieuwste. Dus is er weinig animo in de onderwereld om daar een worm oid voor te maken. Ik zou echter geen server meer durven draaien op OSX.

09 januari 2018 Redactielid

Citaat: cyrano om 11:41, 09-01-2018
Ik zou echter geen server meer durven draaien op OSX.



Zo lang als MacFreak bestaat draait het volgens mij op OS X server, nu ook nog steeds.

Dat gaat binnenkort (met het nieuwe forum) trouwens wel veranderen...

09 januari 2018 Een ware MacFreak!

Citaat: peerzwart om 08:46, 09-01-2018
@boni, Apple heeft het over 'mitigation' van de kwetsbaarheid voor Spectre.


Ok, 'k heb me is even ingelezen rond het spectre gedoe langs een bron die Jan met de (Mac)pet ook lees. Op https://www.hln.be/ihln/multimedia/meltdown-en-spectre-wat-is-het-en-wat-kan-je-ertegen-doen~af79ab82/

las ik: "Spectre zal ons, volgens veiligheidsspecialist Daniel Gruss, “nog jaren last bezorgen”. Om ons definitief van Spectre te verlossen, zal er een nieuw soort chip moeten ontworpen worden."


Verdorie, dat wordt weer geen nieuwe MacBook Pro en Mac mini voor mij dit jaar. Met een nieuwe Mac wil ik geen risico meer lopen om slachtoffer te worden van spectre, dat wordt dus wachten op die nieuwe chip.

Reageer

Je moet ingelogd zijn om te kunnen reageren. Als je nog geen lid bent van MacFreak kan je je hier registreren.