Η τρύπα ασφαλείας του HomeKit έθεσε τα έξυπνα σπίτια σε κίνδυνο - και η Apple το αγνόησε για 6 εβδομάδες

Σύμφωνα με πληροφορίες, η Apple αγνόησε μια ευπάθεια στην έξυπνη οικιακή πλατφόρμα HomeKit που της επέτρεψε να παραβιαστεί εύκολα από οποιονδήποτε διαθέτει Apple Watch.

Το εντυπωσιακό ελάττωμα σε ορισμένες εκδόσεις του watchOS 4 επέτρεψε σε μη εξουσιοδοτημένους χρήστες να ενεργοποιήσουν συσκευές HomeKit όπως κλειδαριές, πόρτες, κάμερες και έξυπνα βύσματα.

Ο προγραμματιστής Khaos Tian, ​​ο οποίος ανακάλυψε το σφάλμα τον Οκτώβριο, λέει ότι η Apple θα μοιραζόταν τις λίστες των αξεσουάρ HomeKit και τα κλειδιά κρυπτογράφησής τους σε ανασφαλείς συνεδρίες με το WatchOS 4.0 ή 4.1.

Σχετιζομαι με: Αναθεώρηση Apple Home και HomeKit

Αφού αποκτήσει τις πληροφορίες, ένας εισβολέας με ένα Apple Watch θα μπορούσε να πάρει τον πλήρη έλεγχο της τεχνολογίας χωρίς να ελέγξει η Apple εάν είχε εξουσιοδοτημένη πρόσβαση.

Σε ένα δημοσίευση στο Medium (μέσω Έντζετ, ο προγραμματιστής εξηγεί: "Με αυτά τα μοναδικά αναγνωριστικά, ο απομακρυσμένος εισβολέας μπορεί να ζητήσει από το HomeKit να κάνει σχεδόν οτιδήποτε."

«Κανονικά, θα ήταν αδύνατο για οποιονδήποτε να καταλάβει το μοναδικό αναγνωριστικό για αυτά τα αντικείμενα, εκτός εάν είστε πραγματικά εξουσιοδοτημένοι να έχετε πρόσβαση σε αυτό το σπίτι στο HomeKit.

"Ωστόσο, υπάρχουν δύο ξεχωριστά σφάλματα, ένα στο watchOS 4 - 4.1 και ένα άλλο στο iOS 11.2 και το watchOS 4.2, επιτρέπουν κάποιος να καταλάβει αυτά τα μοναδικά αναγνωριστικά χωρίς να επιτρέπει στο άτομο να έχει πρόσβαση στο σπίτι πρώτα θέση."

Ο προγραμματιστής, ο οποίος πιθανώς γράφει με ψευδώνυμο, λέει ότι ανέφερε αμέσως το ελάττωμα στην Apple τον Οκτώβριο.

Έξι εβδομάδες αργότερα

Ωστόσο, παρά την γνώση της ύπαρξής του, η εταιρεία κυκλοφόρησε τα watchOS 4.2 και iOS 11.2 με το exploit ασφαλείας να βρίσκεται σε ισχύ, διευρύνοντας το ζήτημα.

Η Apple επέφερε τελικά μια επιδιόρθωση στις 13 Δεκεμβρίου, με το iOS 11.2.1, που σημαίνει ότι ήταν στο παιχνίδι για έξι εβδομάδες πριν ο Cupertino έκανε κάτι για αυτό.

Λαμβάνοντας υπόψη ότι η Apple ισχυρίζεται εδώ και πολύ καιρό ότι το HomeKit «σχεδιάστηκε με απόρρητο και ασφάλεια από την αρχή», αυτό είναι μια ενοχλητική και ανησυχητική εξέλιξη.

Ο Τιαν είπε ακόμη ότι είχε μεγαλύτερη επιτυχία να λάβει απάντηση όταν το blog της Apple 9to5Mac ήρθε σε επαφή με την ομάδα δημοσίων σχέσεων της Apple εκ μέρους του.

«Υποθέτω ότι λειτουργεί έτσι η ασφάλεια των προϊόντων; Πρέπει να γνωρίζω κάποιον για να αντιμετωπιστεί σωστά το ζήτημα ασφαλείας μου; " είπε.

Αυτό το περιστατικό έχει καταστρέψει την πίστη σας στην πλατφόρμα αυτοματισμού της Apple; Αφήστε μας μια γραμμή @TrustedReviews στο Twitter.