Een hacker met de alias Siguza heeft een kwetsbaarheid in macOS openbaar gemaakt, die het voor een kwaadwillenden mogelijk maakt het systeem volledig over te nemen. Standaard werkt deze hack op Sierra 10.12 tot High Sierra 10.13.1, maar met een aanpassing kan die ook werken in High Sierra 10.13.2.

Dit beveiligingslek zou al langer bij Apple bekend zijn, voor zover bekend werd daar gedacht dat dit probleem al helemaal was opgelost. Volgens Siguza zou Apple deze beveiligingsupdate niet hebben geverifieerd, zoals op Hacker News te lezen is.



Als het voorgaande allemaal klopt, dan betekent dit dat ook de meest recente versie van macOS kwetsbaar is. Het beveiligingslek is gevonden in IOHIDFamily, een kernel-elextensie die wordt gebruikt voor human interface devices (HID). Via de kwetsbaarheid kan een gebruiker zonder verdere rechten code met kernel-rechten uitvoeren. De onderzoeker maakte de kwetsbaarheid en bijbehorende exploit openbaar op nieuwjaarsavond, kennelijk heeft hij weinig warme gevoelens richting Apple en we zijn benieuwd of Apple Legal dit muisje nog een staartje gaat geven.

Wat betekent dit voor ons

Tussen het publiceren van een hack en het uitbrengen van software dat van zo'n hack ook echt gebruik maakt zit altijd enige tijd, de kans dat Apple voordat het zover is al een nieuwe update heeft klaarstaan die dit probleem ook oplost lijkt erg groot. In de tussentijd geldt hetzelfde advies dat altijd al van kracht is: houdt je verstand er altijd bij als je programma's en bestanden van het internet naar binnen haalt, zeker als het gaat om sites met niet zo'n goede reputatie.

Daarbij ben je beter beschermd als je kiest voor de eerste of de tweede keuze in Systeemvoorkeuren > Beveiliging en privacy > Algemeen. De eerste optie daar is dat je alleen maar toestemming geeft om programma's te gebruiken die uit de Mac App Store komen, de tweede optie voegt daar ontwikkelaars waar de identiteit van bekend is aan toe, zoals je in de afbeelding hierboven kan zien.

Meer over deze hack is te lezen op deze pagina van security.nl



met dank aan forumlid 'iEscape', die dit nieuws als eerste meldde op ons forum

Dank je voor deze waarschuwing, iEscape!

ikzelf, mogelijk forumlid Cyrano en wellicht enkele anderen zullen deze op prijs kunnen stellen.

Schrik echter niet als je hiervoor op je kop krijgt als onheilsprofeet van vele anderen hier!

https://developer.apple.com/library/content/documentation/DeviceDrivers/Conceptual/HID/intro/intro.html

Dank voor de heads-up.
Vooral voor de link naar het originele artikel, daar zit veel informatie plus links. De reacties daaronder zijn zeer de moeite waard om te lezen.

Een van de vele interessante links (voor programmeurs) is dus deze, die de exploit beschrijft:
https://siguza.github.io/IOHIDeous/

Tevens geeft hij (de ontdekker van de exploit) gebruikers het advies om geen onbetrouwbare software uit te voeren...

Ik gebruik de HIDManager API veel. Gelukkig voor jullie is 95% van mijn code voor In-House gebruik

Schijnt niet te werken onder 10.13.2

http://tweakers.net/nieuws/133393/macos-kernel-blijkt-vatbaar-voor-aanval-via-exploit.html

@Spooter: er is een update op de pagina die IEscape geeft: "Siguza meldt op Hacker News dat de meest recente versie van macOS (10.13.2) nog steeds kwetsbaar is. Alleen de exploit van de onderzoeker werkt niet meer op deze versie "out of the box". Hij merkt echter op dat het mogelijk is om de exploit aan te passen zodat de aanval wel op macOS 10.13.2 kan worden uitgevoerd."

HEXDIY om 4:37, 2-01-2018
Dank je voor deze waarschuwing, iEscape!
Schrik echter niet als je hiervoor op je kop krijgt als onheilsprofeet van vele anderen hier!

Prima posting, iEscape, met duidelijke verwijzingen naar de bron. (Opmerking: dit draadje begon als een posting van iEscape op het forum; nu het een nieuwsbericht is geworden, is de OP tekst aangepast.)

Punt is wel: wat heeft de gemiddelde gebruiker aan deze informatie? Een 'dank voor de waarschuwing' is één, maar wat is stap twee? Kext IOHIDFamily weggooien? Geen software meer downloaden? Mac uitzetten?
Zeg het maar: wat moeten 'we' nu doen?

rt om 10:30, 2-01-2018
Tevens geeft hij (de ontdekker van de exploit) gebruikers het advies om geen onbetrouwbare software uit te voeren...

Zie ik nou een open deur open staan?
Want dit advies wordt al 15 jaar gegeven, vanwege duidend-en-één goede redenen. Hebben we nu reden duizend-en-twee, dat wel.

voor mij als gebruiker is het belangrijk om te weten hoe (on)veilig mijn software is.
Als het aan de software ligt dat iemand mijn computer kan overnemen zal de desbetreffende ontwikkelaar deze fout moeten herstellen en tot die tijd een waarschuwing moeten doen uitgaan.

Mijn eigen verantwoordelijkheid is gezond verstand, geen onbetrouwbare software/updates binnen halen etc. Maar het kan niet zo zijn dat het alleen maar software uit de appstore mag zijn!

Interessant om te weten is, waarom het zolang duurt voordat apple dit probleem heeft opgelost.

Is dit nu gevaarlijk voor iedere gebruiker of alleen als je iets stoms doet? Ik ben niet zo technisch of is dit bericht alleen bedoeld voor degenen die er verstand van hebben?

rt om 14:10, 02-01-2018
Tevens geeft hij (de ontdekker van de exploit) gebruikers het advies om geen onbetrouwbare software uit te voeren...

Wat is dat dan, onbetrouwbare software? Zover ik uit dit draadje begrijp is dat bijvoorbeeld de systeemsoftware van Apple.

Flix om 14:14, 02-01-2018
Punt is wel: wat heeft de gemiddelde gebruiker aan deze informatie?

Die heeft er niets aan en en gaat mij weer mailtjes sturen uit ongerustheid en niet weten wat hij nog mag doen of niet, want hij heeft in het nieuws gelezen dat er weer een lek is.
Alleen de techneuten hebben wat aan deze informatie

Flix om 14:14, 02-01-2018

Citaat

Zie ik nou een open deur open staan?
Want dit advies wordt al 15 jaar gegeven, vanwege duidend-en-één goede redenen. Hebben we nu reden duizend-en-twee, dat wel.

Op naar reden duizend-en-drie. Hebben de techneuten weer voer om de vingers bij af te likken.

Er komt nog meer ellende aan:
Plaats hier de link tekst...

Wat meer info dan El Reg:

https://lonesysadmin.net/2018/01/02/intel-cpu-design-flaw-performance-degradation-security-updates/

Mackeeper heeft al een payload voor dit gat...

HEXDIY om 14:07, 02-01-2018
Dank je voor deze waarschuwing, iEscape!

ikzelf, mogelijk forumlid Cyrano en wellicht enkele anderen zullen deze op prijs kunnen stellen.

De alarm sirenes mogen bijna weer uit. Zie:
https://tweakers.net/nieuws/133557/apple-brengt-binnenkort-software-updates-voor-spectre-kwetsbaarheid-uit.html?nb=2018-01-05&u=2200

Alweer fout.

Het artikel van Tweakers gaat over de andere twee problemen: Spectre en Meltdown, niet over IOHIDeous, dat erger is en nu blijkbaar vergeten wordt.

cyrano om 22:31, 05-01-2018
Alweer fout.

Ja, verschrikkelijk zeg, voorbarig van mij te zeggen dat de alarm sirenes bijna weer uit mogen. We zetten het dreigingsniveau weer op 4.
Je weet wel: Niveau 1. Niveau 2. Niveau 3. Niveau 4. Dreigingsniveau 4 wil zeggen dat de dreiging nabij en zeer waarschijnlijk is. Dreigingsniveau 3 wil zeggen dat er een mogeijke dreiging is.

Om de gemiddelde Apple gebruikers niet Paranoia te laten worden misschien toch effe dit citeren uit recent artikel: https://www.onemorething.nl/2018/01/meltdown-en-spectre-apple-gebruikers/

citaat:
"Wat moet je in de tussentijd doen?
Dit weekend maar geen iPhone, iPad of MacBook gebruiken? Dat is overdreven, maar let wel goed op. Het is goed om de laatste iOS- en macOS-updates te installeren. Installer geen apps die uit een onbekende bron komen, want zolang je geen kwaadaardige app binnenlaat kan ook niets de nieuwe lekken gebruiken."

Oh jee, nog vergeten, mijn citeren uit het artikel op onemorething is niet volledig. Dit moet er nog bij:

"Bij het surfen op je Mac is het verstandig om voorlopig Firefox te gebruiken. Deze browser heeft als eerste maatregelen tegen Spectre ingevoerd. Op iOS heb je geen keuze, omdat Chrome en Firefox slechts een schil om Safari zijn. Als de kwaadaardige code al via de browser binnenkomt, is het waarschijnlijk via javascript via advertentienetwerken. Het kan geen kwaad om (tijdelijk) een adblocker in te schakelen op iOS. Ja, we riskeren daar een deel van onze eigen inkomsten mee, maar f*** it, jouw veiligheid is het belangrijkst."

cyrano om 22:31, 05-01-2018Het artikel van Tweakers gaat over de andere twee problemen: Spectre en Meltdown, niet over IOHIDeous, dat erger is en nu blijkbaar vergeten wordt.

Ik heb je niet goed gelezen cyrano, excuus.
IOHIDeous is dus nog erger en vergeten. Wat moeten we daar in tussentijd voor doen?

Voor IOhideous heb ik geen raad, sorry. Dat zit heel diep in OSX. Een goede oplossing moet van Apple zelf komen.

Van Meltdown hoef je je als gewone gebruiker niet veel aan te trekken. De onderwereld heeft het al opgegeven als te moeilijk.

Spectre is een ander geval. Het is exploiteerbaar via de browser, met Javascript. Firefox heeft al beveliging in de laatste versie. In Chrome kan je die aanzetten in recente versies en 23 januari komt een nieuwe versie uit die de beveliging standaard heeft. Dat kost wel wat snelheid, maar heel erg  is 't niet.

Je kan ook javascript uit zetten, maar dat werkt niet voor mij. Teveel dingen die 't zonder niet doen...

En kijk uit voor phishing, via mail en natuurlijk voor dubieuze apps, incl. die van de appstore.

cyrano om 14:33, 06-01-2018
 Je kan ook javascript uit zetten,

 java script hebben we in de geschiedenis nog is moeten uitzetten tijdelijk.

cyrano om 14:33, 06-01-2018
 maar dat werkt niet voor mij. Teveel dingen die 't zonder niet doen....

Da's dus een dillema

cyrano om 14:33, 06-01-2018
En kijk uit voor phishing, via mail en natuurlijk voor dubieuze apps, incl. die van de appstore.

Da's niks nieuws onder de zon.

correctie: dubieuze apps, incl. die van de appstore, zijn natuurlijk wel wat nieuws. Maar hoe weet men of een app gekocht in de appstore dubieus is?
Zou Apple het weten? Denk het niet want anders zouden ze al wel uit de store gehaald zijn.

Apple weet dat niet. Ze checken dat niet. Punt ander lijn.

De Appstore is een rommeltje, trouwens.

De appstore is een gemiste kans. Er is alleen gedacht aan Apple's belang.

Om maar een paar dingen te noemen:

- De zoekfunctie is erg slecht.
- Je kan geen tekst kopieren

Hoe heeft dat met security te maken?

Als een app glorieuze reviews heeft, is het altijd interessant om even te kijken of die ook elders voorkomen. Dan selecteer je een flink stuk tekst van die review n gooit dat in je favoriete zoekmotor. Komt datzelfde stuk tekst op veel andere plaatsen net hetzelfde voor, heb je te maken met een fake review. Het is dan zeer waarschijnlijk geplaatst door een onderbetaalde medemens in opdracht van een marketing operatie.

Doordat je niet echt kan zoeken, moet de eindgebruiker zowel als de developer van een app erop vertrouwen dat Apple alles doet voor de promotie van een app. Dat dit niet werkt, is heel duidelijk. Er zijn teveel apps en veel van wat komt bovendrijven, teert op dubieuze marketing campagnes buiten de appstore.

Zeobit (makers van Mackeeper) is daar een mooi voorbeeld van. Ze hebben honderden sites, tientallen producten, maar 't is allemaal fake. Nu heeft Zeobit onder die naam geen producten meer in de appstore, maar ze zijn zeker onder andere namen aanwezig. Zeobit bestaat niet meer, Mackeeper nog wel.

Daar is door bonafide developers al lang en hard over geklaagd, maar Apple blijft doof.

Wat vreemd, ik heb sinds enige tijd in de Systeemvoorkeuren > Beveiliging en privacy, maar twee keuzes en kan niet kiezen voor “Elke willekeurige bron”.

Sinds Sierra is dat zo.
Maar je kunt probleemloos deze software wel downloaden en installeren, dus no sweat.

Ik vermoed dat Apple in de gaten kreeg dat mensen een keer de knop op 'elke bron' hadden gezet, en dat nooit meer terug zette (bij gebrek aan inzicht en kennis) waardoor de hele beveiliging van Gatekeeper zinloos was.