HomeKiti turvaauk seadis nutikad kodud ohtu - ja Apple ignoreeris seda 6 nädala jooksul
Väidetavalt eiras Apple oma HomeKiti nutikodu platvormi haavatavust, mis võimaldas selle kõigil Apple Watchiga hõlpsasti kaaperdada.
WatchOS 4 teatud versioonide hämmastav viga võimaldas volitamata kasutajatel käivitada HomeKiti seadmed, näiteks lukud, uksed, kaamerad ja nutikad pistikud.
Arendaja Khaos Tian, kes avastas vea oktoobris, ütleb, et Apple jagab HomeKiti lisavarustuse loendeid ja nende krüptovõtmeid ebaturvalistel seanssidel koos watchOS 4.0 või 4.1.
Seotud: Apple Home ja HomeKiti ülevaade
Pärast teabe saamist võis Apple Watchi ründaja tehnikat täielikult kontrollida ilma, et Apple kontrolliks, kas neil on volitatud juurdepääs.
Sees postitus keskmisele (via Kaaslane), selgitab arendaja: "Nende ainulaadsete identifikaatoritega saab kaugründaja paluda HomeKitil teha peaaegu kõike."
„Tavaliselt ei tohiks kellelgi olla võimatu nende objektide kordumatut identifikaatorit välja mõelda, kui teil pole tegelikult HomeKitis seda luba juurde pääseda.
"Siiski on kaks eraldi viga, üks watchOS 4 - 4.1 ning teine iOS 11.2 ja watchOS 4.2 lubavad keegi välja mõtlema need kordumatud identifikaatorid, ilma et see volitaks seda inimest esmalt koju sisenema koht. "
Arvatavasti varjunime all kirjutav arendaja ütleb, et teatas veast kohe oktoobris Apple'ile.
Kuus nädalat hiljem
Vaatamata oma olemasolust teadmisele andis ettevõte välja watchOS 4.2 ja iOS 11.2 koos turvalisuse ärakasutamisega, laiendades seda probleemi.
Apple käivitas lõplikult 13. detsembril iOS 11.2.1-ga paranduse, mis tähendab, et see oli mängus kuus nädalat, enne kui Cupertino selle vastu midagi tegi.
Arvestades, et Apple on pikka aega väitnud, et HomeKit on „algusest peale loodud privaatsuse ja turvalisusega”, on see piinlik ja puudutab arengut.
Tian ütles isegi, et tal õnnestus vastust saada rohkem, kui Apple'i ajaveeb 9to5Mac võttis tema nimel ühendust Apple'i PR-meeskonnaga.
"Vist nii töötab nüüd toote turvalisus? Ma pean kedagi tundma, et mu turvaküsimus korralikult lahendada saaks? " muheles ta.
Kas see juhtum on kahjustanud teie usku Apple'i koduautomaatika platvormi? Visake meile rida @TrustedReviews Twitteris.
