Gura de securitate HomeKit a pus în pericol casele inteligente - iar Apple a ignorat-o timp de 6 săptămâni

Apple ar fi ignorat o vulnerabilitate în cadrul platformei sale inteligente HomeKit care i-a permis să fie deturnată cu ușurință de oricine are un Apple Watch.

Defectul uimitor din anumite versiuni ale watchOS 4 a făcut posibil ca utilizatorii neautorizați să declanșeze dispozitive HomeKit precum încuietori, uși, camere și prize inteligente.

Dezvoltatorul Khaos Tian, ​​care a descoperit eroarea în octombrie, spune că Apple va împărtăși listele de accesorii HomeKit și cheile lor de criptare în cadrul sesiunilor nesigure cu watchOS 4.0 sau 4.1.

Legate de: Recenzie Apple Home și HomeKit

După obținerea informațiilor, un atacator cu un Apple Watch ar putea prelua controlul complet al tehnologiei fără ca Apple să verifice dacă au autorizat accesul.

Într-o postează pe Medium (prin intermediul Engadget), dezvoltatorul explică: „Cu acești identificatori unici, atacatorul la distanță poate cere HomeKit să facă aproape orice.”

„În mod normal, ar trebui să fie imposibil ca cineva să descopere identificatorul unic pentru acele obiecte, cu excepția cazului în care sunteți de fapt autorizat să accesați acea casă în HomeKit.

„Cu toate acestea, există două bug-uri separate, una în watchOS 4 - 4.1 și alta în iOS 11.2 și watchOS 4.2, permit cineva care să-și dea seama de acei identificatori unici fără a autoriza persoana să acceseze acasă mai întâi loc."

Dezvoltatorul, care probabil scrie într-un pseudonim, spune că a raportat imediat defectul către Apple în octombrie.

Șase săptămâni mai târziu

Cu toate acestea, în ciuda faptului că știe despre existența sa, compania a lansat watchOS 4.2 și iOS 11.2, cu exploatarea de securitate încă în vigoare, lărgind problema.

Apple a lansat în cele din urmă o soluție pe 13 decembrie, cu iOS 11.2.1, ceea ce înseamnă că a fost în joc timp de șase săptămâni înainte ca Cupertino să facă ceva în acest sens.

Având în vedere că Apple a susținut de multă vreme că HomeKit a fost „conceput cu confidențialitate și securitate încă de la început”, aceasta este o dezvoltare jenantă și preocupantă.

Tian chiar a spus că a avut mai mult succes în obținerea unui răspuns atunci când blogul Apple 9to5Mac a contactat echipa de relații publice a Apple în numele său.

„Cred că așa funcționează acum securitatea produsului? Trebuie să cunosc pe cineva care să trateze corect problema mea de securitate? ” a glumit el.

Acest incident v-a afectat credința în platforma de automatizare a locuinței Apple? Trimite-ne o linie @TrustedReviews pe Twitter.