Дупката за сигурност на HomeKit изложи интелигентните домове на риск - и Apple ги игнорира в продължение на 6 седмици
Според съобщенията Apple е игнорирала уязвимост в своята платформа за интелигентен дом HomeKit, която е позволила лесното й отвличане от всеки с Apple Watch.
Изумителният недостатък в някои версии на watchOS 4 даде възможност на неоторизирани потребители да задействат устройства HomeKit като брави, врати, камери и интелигентни щепсели.
Разработчикът Khaos Tian, който откри грешката през октомври, казва, че Apple ще сподели списъците с аксесоари HomeKit и техните ключове за криптиране при несигурни сесии с watchOS 4.0 или 4.1.
Свързани: Преглед на Apple Home и HomeKit
След като получи информацията, нападател с Apple Watch може да поеме пълен контрол над технологията, без Apple да проверява дали е разрешил достъп.
В публикация на Medium (чрез Engadget), разработчикът обяснява: „С тези уникални идентификатори отдалеченият нападател може да поиска от HomeKit да направи почти всичко.“
„Обикновено би трябвало да е невъзможно някой да разбере уникалния идентификатор за тези обекти, освен ако действително не сте упълномощени за достъп до този дом в HomeKit.
„Има обаче две отделни грешки, една в watchOS 4 - 4.1, а друга в iOS 11.2 и watchOS 4.2, позволяват някой, който да разбере тези уникални идентификатори, без първо да упълномощи лицето за достъп до дома място. "
Разработчикът, който по презумпция пише под псевдоним, казва, че незабавно е съобщил за недостатъка на Apple още през октомври.
Шест седмици по-късно
Въпреки това, въпреки че знае за съществуването му, компанията пусна watchOS 4.2 и iOS 11.2 с експлойт на защитата, който все още съществува, разширявайки проблема.
Apple най-накрая пусна поправка на 13 декември с iOS 11.2.1, което означава, че беше в действие в продължение на шест седмици, преди Купертино да направи нещо по въпроса.
Като се има предвид, че Apple отдавна твърди, че HomeKit е „проектиран с поверителност и сигурност от самото начало“, това е смущаващо и засягащо развитие.
Тиан дори заяви, че е постигнал повече успехи в получаването на отговор, когато блогът на Apple 9to5Mac се свързва с екипа за връзки с обществеността на Apple от негово име.
„Предполагам, че така работи защитата на продуктите сега? Трябва да познавам някого, за да се справя правилно с проблема ми със сигурността? “ - подхвърли той.
Този инцидент увреди ли вярата ви в платформата за домашна автоматизация на Apple? Пуснете ни линия @TrustedReviews в Twitter.