Il buco di sicurezza di HomeKit ha messo a rischio le case intelligenti e Apple l'ha ignorato per 6 settimane
Secondo quanto riferito, Apple ha ignorato una vulnerabilità all'interno della sua piattaforma per la casa intelligente HomeKit che le consentiva di essere facilmente dirottata da chiunque avesse un Apple Watch.
Il sorprendente difetto in alcune versioni di watchOS 4 ha permesso agli utenti non autorizzati di attivare dispositivi HomeKit come serrature, porte, fotocamere e prese intelligenti.
Lo sviluppatore Khaos Tian, che ha scoperto il bug ad ottobre, afferma che Apple condividerà gli elenchi di accessori HomeKit e le loro chiavi di crittografia durante sessioni non sicure con watchOS 4.0 o 4.1.
Relazionato: Recensione di Apple Home e HomeKit
Dopo aver ottenuto le informazioni, un utente malintenzionato con un Apple Watch poteva assumere il pieno controllo della tecnologia senza che Apple controllasse se avesse autorizzato l'accesso.
In un post su Medium (attraverso Engadget), lo sviluppatore spiega: "Con questi identificatori univoci, un utente malintenzionato remoto può chiedere a HomeKit di fare quasi tutto".
“Normalmente dovrebbe essere impossibile per chiunque capire l'identificatore univoco di quegli oggetti a meno che tu non sia effettivamente autorizzato ad accedere a quella casa in HomeKit.
"Tuttavia, ci sono due bug separati, uno in watchOS 4 - 4.1 e un altro in iOS 11.2 e watchOS 4.2, consentono qualcuno per capire quegli identificatori univoci senza autorizzare la persona ad accedere prima alla casa posto."
Lo sviluppatore, che presumibilmente sta scrivendo con uno pseudonimo, afferma di aver immediatamente segnalato il difetto ad Apple ad ottobre.
Sei settimane dopo
Tuttavia, nonostante fosse a conoscenza della sua esistenza, la società ha rilasciato watchOS 4.2 e iOS 11.2 con l'exploit di sicurezza ancora in atto, ampliando il problema.
Apple ha finalmente implementato una correzione il 13 dicembre, con iOS 11.2.1, il che significa che era in gioco per sei settimane prima che Cupertino facesse qualcosa al riguardo.
Considerando che Apple ha da tempo affermato che HomeKit è stato "progettato con privacy e sicurezza sin dall'inizio", questo è uno sviluppo imbarazzante e preoccupante.
Tian ha anche affermato di aver avuto più successo nell'ottenere una risposta quando il blog di Apple 9to5Mac ha contattato il team PR di Apple per suo conto.
"Immagino che sia così che funziona la sicurezza del prodotto ora? Devo conoscere qualcuno per far sì che il mio problema di sicurezza venga gestito correttamente? " ha scherzato.
Questo incidente ha danneggiato la tua fiducia nella piattaforma di automazione domestica di Apple? Mandaci un messaggio @TrustedReviews su Twitter.