A falha na segurança do HomeKit colocou as casas inteligentes em risco - e a Apple a ignorou por 6 semanas
A Apple supostamente ignorou uma vulnerabilidade dentro de sua plataforma de casa inteligente HomeKit que permitia que ele fosse facilmente sequestrado por qualquer pessoa com um Apple Watch.
A falha surpreendente em certas versões do watchOS 4 possibilitou que usuários não autorizados acionassem dispositivos HomeKit como fechaduras, portas, câmeras e plugues inteligentes.
O desenvolvedor Khaos Tian, que descobriu o bug em outubro, diz que a Apple iria compartilhar as listas de acessórios HomeKit e suas chaves de criptografia em sessões inseguras com watchOS 4.0 ou 4.1.
Relacionado: Análise do Apple Home e HomeKit
Depois de obter as informações, um invasor com um Apple Watch pode assumir o controle total da tecnologia sem que a Apple verifique se eles autorizaram o acesso.
Em um postar no meio (através da Engadget), o desenvolvedor explica: “Com esses identificadores exclusivos, o invasor remoto pode pedir ao HomeKit para fazer quase qualquer coisa.”
“Normalmente, deveria ser impossível para qualquer pessoa descobrir o identificador exclusivo desses objetos, a menos que você esteja realmente autorizado a acessar essa casa no HomeKit.
“No entanto, existem dois bugs separados, um no watchOS 4 - 4.1 e outro no iOS 11.2 e watchOS 4.2, permitem alguém para descobrir esses identificadores exclusivos sem autorizar a pessoa a acessar a casa em primeiro Lugar, colocar."
O desenvolvedor, que provavelmente está escrevendo sob um pseudônimo, diz que relatou imediatamente a falha à Apple em outubro.
Seis semanas depois
No entanto, apesar de saber da sua existência, a empresa lançou o watchOS 4.2 e o iOS 11.2 com o exploit de segurança ainda em vigor, agravando o problema.
A Apple finalmente lançou uma correção em 13 de dezembro, com o iOS 11.2.1, o que significa que ele estava em jogo por seis semanas antes que Cupertino fizesse algo a respeito.
Considerando que a Apple há muito afirma que o HomeKit foi “projetado com privacidade e segurança desde o início”, este é um desenvolvimento embaraçoso e preocupante.
Tian até disse que teve mais sucesso em obter uma resposta quando o blog da Apple 9to5Mac contatou a equipe de relações públicas da Apple em seu nome.
“Acho que é assim que a segurança do produto funciona agora? Preciso conhecer alguém para que meu problema de segurança seja tratado adequadamente? ” ele brincou.
Este incidente prejudicou sua fé na plataforma de automação residencial da Apple? Escreva-nos @TrustedReviews no Twitter.