El agujero de seguridad de HomeKit puso en riesgo las casas inteligentes, y Apple lo ignoró durante 6 semanas
Según los informes, Apple ignoró una vulnerabilidad dentro de su plataforma de hogar inteligente HomeKit que permitía que cualquier persona con un Apple Watch pudiera secuestrarla fácilmente.
La sorprendente falla en ciertas versiones de watchOS 4 hizo posible que usuarios no autorizados activen dispositivos HomeKit como cerraduras, puertas, cámaras y enchufes inteligentes.
El desarrollador Khaos Tian, que descubrió el error en octubre, dice que Apple compartiría las listas de accesorios de HomeKit y sus claves de cifrado en sesiones inseguras con watchOS 4.0 o 4.1.
Relacionado: Revisión de Apple Home y HomeKit
Después de obtener la información, un atacante con un Apple Watch podría tomar el control total de la tecnología sin que Apple verifique si tenía acceso autorizado.
en un publicar en Medium (vía Engadget), el desarrollador explica: "Con esos identificadores únicos, el atacante remoto puede pedirle a HomeKit que haga casi cualquier cosa".
“Normalmente, debería ser imposible para cualquier persona averiguar el identificador único de esos objetos a menos que esté realmente autorizado para acceder a esa casa en HomeKit.
"Sin embargo, hay dos errores separados, uno en watchOS 4 - 4.1, y otro en iOS 11.2 y watchOS 4.2, permiten alguien para averiguar esos identificadores únicos sin autorizar a la persona a acceder a la casa en primer lugar sitio."
El desarrollador, que presumiblemente escribe bajo un seudónimo, dice que informó de inmediato la falla a Apple en octubre.
Seis semanas despues
Sin embargo, a pesar de conocer su existencia, la compañía lanzó watchOS 4.2 e iOS 11.2 con el exploit de seguridad aún en su lugar, ampliando el problema.
Apple finalmente lanzó una solución el 13 de diciembre, con iOS 11.2.1, lo que significa que estuvo en juego durante seis semanas antes de que Cupertino hiciera algo al respecto.
Teniendo en cuenta que Apple ha afirmado durante mucho tiempo que HomeKit fue "diseñado con privacidad y seguridad desde el principio", este es un desarrollo vergonzoso y preocupante.
Tian incluso dijo que tuvo más éxito en obtener una respuesta cuando el blog de Apple 9to5Mac se puso en contacto con el equipo de relaciones públicas de Apple en su nombre.
“¿Supongo que así es como funciona la seguridad del producto ahora? ¿Tengo que conocer a alguien para que mi problema de seguridad se maneje correctamente? " bromeó.
¿Este incidente ha dañado su fe en la plataforma de automatización del hogar de Apple? Envíenos un mensaje @TrustedReviews en Twitter.