חור האבטחה של HomeKit הציב בתים חכמים בסיכון - ואפל התעלמה ממנו במשך 6 שבועות

על פי הדיווחים, אפל התעלמה מפגיעות בפלטפורמת הבית החכם שלה HomeKit שאפשרה לחטוף אותה בקלות על ידי כל מי שיש לו Apple Watch.

הפגם המדהים בגרסאות מסוימות של watchOS 4 איפשר למשתמשים לא מורשים להפעיל מכשירי HomeKit כמו מנעולים, דלתות, מצלמות ותקעים חכמים.

המפתח Khaos Tian, ​​שגילה את הבאג באוקטובר, אומר כי אפל תשתף את רשימות אביזרי ה- HomeKit ומפתחות ההצפנה שלהם במהלך הפעלות לא מאובטחות עם watchOS 4.0 או 4.1.

קָשׁוּר: סקירת Apple Home ו- HomeKit

לאחר קבלת המידע, תוקף עם Apple Watch יכול להשתלט על הטכנולוגיה המלאה מבלי שאפל תבדוק אם יש להם הרשאת גישה.

ב פרסם במדיום (באמצעות Engadget), מסביר היזם: "בעזרת אותם מזהים ייחודיים, התוקף המרוחק יכול לבקש מ- HomeKit לעשות כמעט כל דבר."

"בדרך כלל זה לא יכול להיות בלתי אפשרי עבור מישהו להבין את המזהה הייחודי לאובייקטים אלה אלא אם כן אתה מורשה לגשת לבית זה ב- HomeKit.

"עם זאת, ישנם שני באגים נפרדים, אחד ב- watchOS 4 - 4.1, ואחר ב- iOS 11.2 ו- watchOS 4.2, מאפשרים מישהו שיבין את המזהים הייחודיים האלה מבלי לאשר לאדם לגשת לבית תחילה מקום."

היזם, שכנראה כותב תחת שם בדוי, אומר שהוא דיווח מיד על הפגם לאפל כבר באוקטובר.

כעבור שישה שבועות

עם זאת, למרות הידיעה על קיומה, החברה פרסמה את watchOS 4.2 ו- iOS 11.2 עם ניצול האבטחה עדיין במקום, והרחיב את הבעיה.

אפל סוף סוף פירסמה תיקון ב- 13 בדצמבר, עם iOS 11.2.1, כלומר זה היה במשחק במשך שישה שבועות לפני שקופרטינו עשה משהו בנידון.

בהתחשב בכך שאפל כבר מזמן טענה ש- HomeKit "תוכנן עם פרטיות וביטחון מההתחלה", זו התפתחות מביכה ונוגעת.

טיאן אף אמר כי היה לו יותר הצלחה בקבלת תגובה כאשר הבלוג של אפל 9to5Mac יצר קשר עם צוות היח"צ של אפל בשמו.

"אני מניח שכך אבטחת מוצרים עובדת עכשיו? אני צריך להכיר מישהו שיטפל בבעיית האבטחה שלי כמו שצריך? " הוא חרטט.

האם האירוע הזה פגע באמונכם בפלטפורמת האוטומציה הביתית של אפל? תן לנו שורה @TrustedReviews בטוויטר.