Дыра в системе безопасности HomeKit подвергала риску умные дома - и Apple игнорировала это в течение 6 недель

Сообщается, что Apple проигнорировала уязвимость в своей платформе умного дома HomeKit, которая позволила легко захватить ее любым, у кого есть Apple Watch.

Поразительный недостаток некоторых версий watchOS 4 позволял неавторизованным пользователям запускать устройства HomeKit, такие как замки, двери, камеры и интеллектуальные розетки.

Разработчик Khaos Tian, ​​обнаруживший ошибку в октябре, говорит, что Apple будет делиться списками аксессуаров HomeKit и их ключами шифрования в незащищенных сеансах с watchOS 4.0 или 4.1.

Связанный: Обзор Apple Home и HomeKit

После получения информации злоумышленник с Apple Watch может получить полный контроль над технологией, не проверяя Apple, есть ли у них авторизованный доступ.

В опубликовать на Medium (через EngadgetРазработчик объясняет: «С этими уникальными идентификаторами удаленный злоумышленник может попросить HomeKit сделать что угодно».

«Обычно никто не может определить уникальный идентификатор этих объектов, если вы не авторизованы для доступа к этому дому в HomeKit.

«Однако есть две отдельные ошибки, одна в watchOS 4–4,1, а другая в iOS 11.2 и watchOS 4.2, которые позволяют кто-то, чтобы вычислить эти уникальные идентификаторы, не разрешая человеку сначала получить доступ к дому место."

Разработчик, который предположительно пишет под псевдонимом, говорит, что сразу же сообщил об уязвимости Apple еще в октябре.

Шесть недель спустя

Однако, несмотря на то, что компания знала о его существовании, компания выпустила watchOS 4.2 и iOS 11.2 с уязвимостью безопасности, что еще больше усугубило проблему.

Apple, наконец, выпустила исправление 13 декабря с iOS 11.2.1, что означает, что оно было в игре в течение шести недель, прежде чем Купертино что-либо предпринял.

Учитывая, что Apple давно заявляла, что HomeKit «с самого начала разрабатывался с учетом требований конфиденциальности и безопасности», это смущающая и тревожная разработка.

Тиан даже сказал, что ему больше удалось получить ответ, когда блог Apple 9to5Mac связался с PR-службой Apple от его имени.

«Полагаю, так сейчас работает защита продукта? Я должен знать кого-то, чтобы правильно решить мою проблему безопасности? " - пошутил он.

Подорвал ли этот инцидент вашу веру в платформу домашней автоматизации Apple? Напишите нам @TrustedReviews в Twitter.