HomeKit-beveiligingslek bracht slimme huizen in gevaar - en Apple negeerde het zes weken lang

Apple negeerde naar verluidt een kwetsbaarheid binnen zijn HomeKit smart home-platform waardoor het gemakkelijk kon worden gekaapt door iedereen met een Apple Watch.

De verrassende fout in bepaalde versies van watchOS 4 maakte het voor onbevoegde gebruikers mogelijk om HomeKit-apparaten zoals sloten, deuren, camera's en slimme stekkers te activeren.

Ontwikkelaar Khaos Tian, ​​die de bug in oktober ontdekte, zegt dat Apple de lijsten met HomeKit-accessoires en hun coderingssleutels zou delen tijdens onveilige sessies met watchOS 4.0 of 4.1.

Verwant: Apple Home en HomeKit-recensie

Na het verkrijgen van de informatie kan een aanvaller met een Apple Watch de volledige controle over de technologie overnemen zonder dat Apple controleert of ze geautoriseerde toegang hebben.

In een post op Medium (via Engadget), legt de ontwikkelaar uit: "Met die unieke identificatiegegevens kan een aanvaller op afstand HomeKit vragen om bijna alles te doen."

“Normaal gesproken zou het voor niemand onmogelijk moeten zijn om de unieke identificatie voor die objecten te achterhalen, tenzij je daadwerkelijk geautoriseerd bent om toegang te krijgen tot dat huis in HomeKit.

"Er zijn echter twee afzonderlijke bugs, een in watchOS 4 - 4.1 en een andere in iOS 11.2 en watchOS 4.2, iemand om die unieke identificatiegegevens te achterhalen zonder de persoon eerst toegang te geven tot het huis plaats."

De ontwikkelaar, die vermoedelijk onder een pseudoniem schrijft, zegt dat hij de fout in oktober onmiddellijk aan Apple heeft gemeld.

Zes weken later

Ondanks het feit dat het bedrijf op de hoogte was van het bestaan, bracht het watchOS 4.2 en iOS 11.2 uit met de beveiligingsuitbuiting nog steeds, waardoor het probleem groter werd.

Apple heeft eindelijk een oplossing uitgerold op 13 december, met iOS 11.2.1, wat betekent dat het zes weken in gebruik was voordat Cupertino er iets aan deed.

Aangezien Apple al lang beweert dat HomeKit "vanaf het begin met privacy en veiligheid is ontworpen", is dit een beschamende en zorgwekkende ontwikkeling.

Tian zei zelfs dat hij meer succes had met het krijgen van een reactie toen de Apple-blog 9to5Mac namens hem contact opnam met het PR-team van Apple.

"Ik denk dat productbeveiliging nu zo werkt? Ik moet iemand kennen om mijn beveiligingsprobleem correct af te handelen? " grapte hij.

Heeft dit incident uw vertrouwen in het domotica-platform van Apple geschaad? Stuur ons een bericht @TrustedReviews op Twitter.