A HomeKit biztonsági lyuk veszélybe sodorta az intelligens otthonokat - és az Apple 6 hétig nem vette figyelembe
Az Apple állítólag figyelmen kívül hagyta a HomeKit intelligens otthoni platformjának sebezhetőségét, amely lehetővé tette, hogy bárki könnyen elrabolhassa az Apple Watch használatával.
A watchOS 4 egyes verzióinak megdöbbentő hibája lehetővé tette az illetéktelen felhasználók számára a HomeKit-eszközök, például zárak, ajtók, kamerák és intelligens csatlakozók kiváltását.
Khaos Tian fejlesztő, aki októberben felfedezte a hibát, azt mondja, hogy az Apple megosztja a HomeKit kiegészítők listáját és azok titkosítási kulcsait a bizonytalan munkamenetek során a watchOS 4.0 vagy 4.1 rendszerrel.
Összefüggő: Apple Home és HomeKit áttekintés
Az információk megszerzése után az Apple Watch támadója teljes mértékben átveheti a technológia irányítását anélkül, hogy az Apple ellenőrizné, hogy rendelkeznek-e engedélyezett hozzáféréssel.
A bejegyzés a közepesre (keresztül Engadget), a fejlesztő elmagyarázza: "Ezekkel az egyedi azonosítókkal a távoli támadó szinte mindenre megkérheti a HomeKit-t."
- Általában lehetetlennek kell lennie annak, hogy bárki kitalálja az objektumok egyedi azonosítóját, hacsak nem jogosult arra, hogy hozzáférjen az adott házhoz a HomeKit-ben.
„Ugyanakkor két különálló hiba van, az egyik a watchOS 4 - 4.1-ben, egy másik az iOS 11.2-ben és a watchOS 4.2-ben lehetővé teszi valaki, aki kitalálja ezeket az egyedi azonosítókat anélkül, hogy felhatalmazná a személyt az otthonba való első belépésre hely."
A feltehetően álnéven író fejlesztő szerint még októberben azonnal jelentette a hibát az Apple-nek.
Hat hét múlva
Annak ellenére, hogy tudott a létezéséről, a vállalat kiadta a watchOS 4.2-t és az iOS 11.2-t, miközben a biztonsági kihasználtság még mindig érvényben volt, ezzel kibővítve a problémát.
Az Apple végül december 13-án hozta létre a javítást az iOS 11.2.1-gyel, vagyis hat hétig volt játékban, mire Cupertino bármit is tett ellene.
Figyelembe véve, hogy az Apple már régóta azt állítja, hogy a HomeKit „a kezdetektől fogva magánélet és biztonság mellett lett kialakítva”, ez kínos és a fejlesztést érinti.
Tian még azt is elmondta, hogy nagyobb sikert aratott arra, hogy választ kapjon, amikor az Apple blog, a 9to5Mac felvette a kapcsolatot az Apple PR csapatával a nevében.
- Gondolom, most így működik a termékbiztonság? Ismernem kell valakit, hogy a biztonsági kérdésemet megfelelően kezeljék? - hebegte.
Ez az eset rontotta az Apple otthoni automatizálási platformjába vetett hitét? Vessen egy sort @TrustedReviews a Twitteren.