HomeKit drošības caurums apdraudēja viedās mājas - un Apple to ignorēja 6 nedēļas

Kā ziņots, Apple ignorēja ievainojamību savā HomeKit viedās mājas platformā, kas ļāva to viegli nolaupīt ikvienam, kam ir Apple Watch.

Pārsteidzošais trūkums dažās watchOS 4 versijās ļāva nesankcionētiem lietotājiem iedarbināt HomeKit ierīces, piemēram, slēdzenes, durvis, kameras un viedos kontaktdakšas.

Izstrādātājs Khaos Tian, ​​kurš atklāja kļūdu oktobrī, saka, ka Apple nedrošu sesiju laikā ar watchOS 4.0 vai 4.1 koplietos HomeKit piederumu un to šifrēšanas atslēgu sarakstus.

Saistīts: Apple Home un HomeKit pārskats

Pēc informācijas iegūšanas uzbrucējs ar Apple Watch varēja pilnībā kontrolēt tehnoloģiju, Apple nepārbaudot, vai viņiem ir atļauta piekļuve.

Iekšā ziņa vidējā (caur Iesaistīties), izstrādātājs paskaidro: "Izmantojot šos unikālos identifikatorus, attālais uzbrucējs var lūgt HomeKit darīt gandrīz jebko."

“Parasti nevienam nedrīkst būt iespējams noskaidrot šo objektu unikālo identifikatoru, ja vien jūs neesat faktiski pilnvarots piekļūt šai mājai HomeKit.

“Tomēr ir divas atsevišķas kļūdas, viena ir watchOS 4 - 4.1, otra iOS 11.2 un watchOS 4.2, ļauj kāds izdomā šos unikālos identifikatorus, vispirms neļaujot personai piekļūt mājām vietā. ”

Izstrādātājs, kurš, domājams, raksta ar pseidonīmu, saka, ka viņš nekavējoties paziņoja Apple par kļūdu jau oktobrī.

Sešas nedēļas vēlāk

Tomēr, neraugoties uz to, ka ir zināms, ka tā pastāv, uzņēmums izlaida watchOS 4.2 un iOS 11.2 ar drošības izmantošanu, kas joprojām ir aktuāla, paplašinot problēmu.

Apple beidzot 13. decembrī ieviesa labojumu ar iOS 11.2.1, kas nozīmē, ka tas spēlēja sešas nedēļas, pirms Cupertino kaut ko darīja.

Ņemot vērā to, ka Apple jau sen apgalvo, ka HomeKit tika “izstrādāts ar privātumu un drošību jau no paša sākuma”, tas ir neērts un attiecas uz attīstību.

Tians pat teica, ka viņam bija vairāk panākumu, lai saņemtu atbildi, kad Apple emuārs 9to5Mac viņa vārdā sazinājās ar Apple PR komandu.

"Es domāju, ka tā tagad darbojas produktu drošība? Man ir jāpazīst kāds, lai mana drošības problēma tiktu kārtota pareizi? ” viņš atcirta.

Vai šis incidents ir sabojājis jūsu ticību Apple mājas automatizācijas platformai? Nometiet mums līniju @TrustedReviews Twitter.