HomeKit-sikkerhedshul placerede smarte hjem i fare - og Apple ignorerede det i 6 uger
Apple har angiveligt ignoreret en sårbarhed inden for sin HomeKit-smartplatform, der gjorde det let at kapre den af alle med et Apple Watch.
Den overraskende fejl i visse versioner af watchOS 4 gjorde det muligt for uautoriserede brugere at udløse HomeKit-enheder som låse, døre, kameraer og smarte stik.
Udvikler Khaos Tian, der opdagede fejlen i oktober, siger, at Apple ville dele listerne over HomeKit-tilbehør og deres krypteringsnøgler over usikre sessioner med watchOS 4.0 eller 4.1.
Relaterede: Apple Home og HomeKit anmeldelse
Efter at have fået oplysningerne kunne en angriber med et Apple Watch tage fuld kontrol over teknologien uden Apple at kontrollere, om de havde autoriseret adgang.
I en post på Medium (via Engadget), forklarer udvikleren: “Med disse unikke identifikatorer kan fjernangriber bede HomeKit om at gøre næsten hvad som helst.”
”Normalt bør det være umuligt for nogen at finde ud af den unikke identifikator for disse objekter, medmindre du faktisk har tilladelse til at få adgang til det hjem i HomeKit.
“Der er dog to separate fejl, en i watchOS 4 - 4.1 og en anden i iOS 11.2 og watchOS 4.2, tillader nogen til at finde ud af disse unikke identifikatorer uden først at give personen tilladelse til at få adgang til hjemmet placere."
Udvikleren, der formodentlig skriver under et pseudonym, siger, at han straks rapporterede fejlen til Apple tilbage i oktober.
Seks uger senere
På trods af at vide om dets eksistens, frigav virksomheden dog watchOS 4.2 og iOS 11.2 med sikkerhedsudnyttelsen stadig på plads, hvilket udvidede problemet.
Apple rullede endelig en løsning den 13. december med iOS 11.2.1, hvilket betyder, at den var i spil i seks uger, før Cupertino gjorde noget ved det.
I betragtning af at Apple længe har hævdet, at HomeKit var “designet med privatliv og sikkerhed helt fra starten,” er dette en pinlig og bekymrende udvikling.
Tian sagde endda, at han havde mere succes med at få et svar, da Apple-bloggen 9to5Mac kontaktede Apples PR-team på hans vegne.
“Jeg gætter sådan fungerer produktsikkerhed nu? Jeg er nødt til at kende nogen for at få behandlet mit sikkerhedsproblem ordentligt? ” sagde han.
Har denne hændelse ødelagt din tro på Apples hjemmeautomatiseringsplatform? Send os en linje @TrustedReviews på Twitter.