HomeKit-turva-aukko asetti älykkäät kodit vaaraan - ja Apple ei ottanut sitä huomioon 6 viikon ajan
Apple ilmoitti jättäneen huomiotta haavoittuvuuden HomeKit-älykäs kotiympäristössään, jonka avulla kuka tahansa, jolla on Apple Watch, voi kaapata sen helposti.
WatchOS 4: n tiettyjen versioiden hämmästyttävä virhe mahdollisti luvattomien käyttäjien laukaista HomeKit-laitteet, kuten lukot, ovet, kamerat ja älykkäät pistokkeet.
Kehittäjä Khaos Tian, joka löysi virheen lokakuussa, kertoo Apple jakavan HomeKit-lisävarusteiden ja niiden salausavainten luettelot epävarmoissa istunnoissa watchOS 4.0: n tai 4.1: n kanssa.
Liittyvät: Apple Home ja HomeKit -katsaus
Saatuaan tiedot Apple Watchin hyökkääjä voi ottaa tekniikan hallintaansa ilman, että Apple tarkistaa, onko heillä lupa käyttää sitä.
Jonkin sisällä viesti keskitasolle (kautta Engadget), kehittäjä selittää: "Näillä yksilöllisillä tunnisteilla etähyökkääjä voi pyytää HomeKitia tekemään melkein mitä tahansa."
"Normaalisti kenenkään pitäisi olla mahdotonta selvittää näiden objektien yksilöllinen tunniste, ellet ole tosiasiallisesti valtuutettu käyttämään kyseistä kotia HomeKitissä.
"On kuitenkin kaksi erillistä virhettä, yksi watchOS 4 - 4.1: ssä ja toinen iOS 11.2: ssa ja watchOS 4.2: ssä, sallivat joku selvittää nämä yksilölliset tunnisteet ilman lupaa henkilölle päästä ensin kotiin paikka."
Kehittäjä, joka oletettavasti kirjoittaa salanimellä, sanoo ilmoittaneensa virheestä välittömästi Applelle lokakuussa.
Kuusi viikkoa myöhemmin
Huolimatta tietoisuudestaan olemassaolostaan yhtiö julkaisi watchOS 4.2: n ja iOS 11.2: n, kun tietoturva-apu oli edelleen paikallaan, mikä laajensi ongelmaa.
Apple julkaisi lopulta korjauksen 13. joulukuuta iOS 11.2.1: llä, mikä tarkoittaa, että se oli pelissä kuusi viikkoa ennen kuin Cupertino teki mitään asialle.
Ottaen huomioon, että Apple on jo pitkään väittänyt, että HomeKit on "suunniteltu yksityisyyden ja turvallisuuden kanssa alusta alkaen", tämä on kiusallista ja koskee kehitystä.
Tian kertoi jopa saavansa enemmän menestystä vastauksen saamisessa, kun Apple-blogi 9to5Mac otti yhteyttä Applen PR-tiimiin hänen puolestaan.
"Luultavasti tuoteturvallisuus toimii nyt? Minun täytyy tuntea joku, jotta turvaongelmani hoidetaan oikein? " hän totesi.
Onko tämä tapaus vahingoittanut uskoasi Applen kotiautomaatioalustaan? Pudota meille rivi @TrustedReviews Twitterissä.
