Bezpečnostní díra HomeKit vystavila inteligentní domy riziku - a Apple to po dobu 6 týdnů ignoroval
Společnost Apple údajně ignorovala chybu zabezpečení v rámci své platformy HomeKit pro inteligentní domácnosti, díky níž mohla být snadno unesena kýmkoli, kdo má Apple Watch.
Překvapivá chyba v některých verzích watchOS 4 umožnila neoprávněným uživatelům spouštět zařízení HomeKit, jako jsou zámky, dveře, kamery a inteligentní zástrčky.
Vývojář Khaos Tian, který chybu objevil v říjnu, říká, že Apple bude sdílet seznamy HomeKit příslušenství a jejich šifrovacích klíčů během nezabezpečených relací s watchOS 4.0 nebo 4.1.
Příbuzný: Recenze Apple Home a HomeKit
Po získání informací mohl útočník s Apple Watch převzít plnou kontrolu nad technologií, aniž by Apple zkontroloval, zda má autorizovaný přístup.
V zveřejnit na médiu (přes Engadget), vývojář vysvětluje: „S těmito jedinečnými identifikátory může vzdálený útočník požádat HomeKit o téměř cokoli.“
"Normálně by mělo být nemožné, aby kdokoli zjistil jedinečný identifikátor pro tyto objekty, pokud nemáte skutečně oprávnění k přístupu k tomuto domovu v HomeKitu."
„Existují však dvě samostatné chyby, jedna v watchOS 4 - 4.1 a další v iOS 11.2 a watchOS 4.2, umožňují někdo, kdo zjistí tyto jedinečné identifikátory, aniž by nejprve povolil dané osobě přístup do domu místo."
Vývojář, který pravděpodobně píše pod pseudonymem, říká, že chybu nahlásil společnosti Apple již v říjnu.
O šest týdnů později
Přestože společnost věděla o své existenci, vydala watchOS 4.2 a iOS 11.2 s bezpečnostním zneužitím stále na místě, čímž se problém rozšířil.
Apple konečně zavedl opravu 13. prosince s iOS 11.2.1, což znamená, že byl ve hře šest týdnů, než s tím Cupertino něco udělal.
Vzhledem k tomu, že společnost Apple již dlouho tvrdí, že HomeKit byl „navržen s ohledem na soukromí a bezpečnost od samého začátku“, je to trapný a týká se vývoje.
Tian dokonce řekl, že měl větší úspěch v získávání odpovědí, když Apple blog 9to5Mac kontaktoval PR tým společnosti Apple jeho jménem.
"Myslím, že tak nyní funguje zabezpečení produktů?" Musím někoho znát, aby byl můj bezpečnostní problém správně vyřešen? “ zavtipkoval.
Nepoškodil tento incident vaši víru v platformu domácí automatizace společnosti Apple? Napište nám @TrustedReviews na Twitteru.