Дупката за сигурност на HomeKit изложи интелигентните домове на риск - и Apple ги игнорира в продължение на 6 седмици

Според съобщенията Apple е игнорирала уязвимост в своята платформа за интелигентен дом HomeKit, която е позволила лесното й отвличане от всеки с Apple Watch.

Изумителният недостатък в някои версии на watchOS 4 даде възможност на неоторизирани потребители да задействат устройства HomeKit като брави, врати, камери и интелигентни щепсели.

Разработчикът Khaos Tian, ​​който откри грешката през октомври, казва, че Apple ще сподели списъците с аксесоари HomeKit и техните ключове за криптиране при несигурни сесии с watchOS 4.0 или 4.1.

Свързани: Преглед на Apple Home и HomeKit

След като получи информацията, нападател с Apple Watch може да поеме пълен контрол над технологията, без Apple да проверява дали е разрешил достъп.

В публикация на Medium (чрез Engadget), разработчикът обяснява: „С тези уникални идентификатори отдалеченият нападател може да поиска от HomeKit да направи почти всичко.“

„Обикновено би трябвало да е невъзможно някой да разбере уникалния идентификатор за тези обекти, освен ако действително не сте упълномощени за достъп до този дом в HomeKit.

„Има обаче две отделни грешки, една в watchOS 4 - 4.1, а друга в iOS 11.2 и watchOS 4.2, позволяват някой, който да разбере тези уникални идентификатори, без първо да упълномощи лицето за достъп до дома място. "

Разработчикът, който по презумпция пише под псевдоним, казва, че незабавно е съобщил за недостатъка на Apple още през октомври.

Шест седмици по-късно

Въпреки това, въпреки че знае за съществуването му, компанията пусна watchOS 4.2 и iOS 11.2 с експлойт на защитата, който все още съществува, разширявайки проблема.

Apple най-накрая пусна поправка на 13 декември с iOS 11.2.1, което означава, че беше в действие в продължение на шест седмици, преди Купертино да направи нещо по въпроса.

Като се има предвид, че Apple отдавна твърди, че HomeKit е „проектиран с поверителност и сигурност от самото начало“, това е смущаващо и засягащо развитие.

Тиан дори заяви, че е постигнал повече успехи в получаването на отговор, когато блогът на Apple 9to5Mac се свързва с екипа за връзки с обществеността на Apple от негово име.

„Предполагам, че така работи защитата на продуктите сега? Трябва да познавам някого, за да се справя правилно с проблема ми със сигурността? “ - подхвърли той.

Този инцидент увреди ли вярата ви в платформата за домашна автоматизация на Apple? Пуснете ни линия @TrustedReviews в Twitter.