Дыра в системе безопасности HomeKit подвергала риску умные дома - и Apple игнорировала это в течение 6 недель
Сообщается, что Apple проигнорировала уязвимость в своей платформе умного дома HomeKit, которая позволила легко захватить ее любым, у кого есть Apple Watch.
Поразительный недостаток некоторых версий watchOS 4 позволял неавторизованным пользователям запускать устройства HomeKit, такие как замки, двери, камеры и интеллектуальные розетки.
Разработчик Khaos Tian, обнаруживший ошибку в октябре, говорит, что Apple будет делиться списками аксессуаров HomeKit и их ключами шифрования в незащищенных сеансах с watchOS 4.0 или 4.1.
Связанный: Обзор Apple Home и HomeKit
После получения информации злоумышленник с Apple Watch может получить полный контроль над технологией, не проверяя Apple, есть ли у них авторизованный доступ.
В опубликовать на Medium (через EngadgetРазработчик объясняет: «С этими уникальными идентификаторами удаленный злоумышленник может попросить HomeKit сделать что угодно».
«Обычно никто не может определить уникальный идентификатор этих объектов, если вы не авторизованы для доступа к этому дому в HomeKit.
«Однако есть две отдельные ошибки, одна в watchOS 4–4,1, а другая в iOS 11.2 и watchOS 4.2, которые позволяют кто-то, чтобы вычислить эти уникальные идентификаторы, не разрешая человеку сначала получить доступ к дому место."
Разработчик, который предположительно пишет под псевдонимом, говорит, что сразу же сообщил об уязвимости Apple еще в октябре.
Шесть недель спустя
Однако, несмотря на то, что компания знала о его существовании, компания выпустила watchOS 4.2 и iOS 11.2 с уязвимостью безопасности, что еще больше усугубило проблему.
Apple, наконец, выпустила исправление 13 декабря с iOS 11.2.1, что означает, что оно было в игре в течение шести недель, прежде чем Купертино что-либо предпринял.
Учитывая, что Apple давно заявляла, что HomeKit «с самого начала разрабатывался с учетом требований конфиденциальности и безопасности», это смущающая и тревожная разработка.
Тиан даже сказал, что ему больше удалось получить ответ, когда блог Apple 9to5Mac связался с PR-службой Apple от его имени.
«Полагаю, так сейчас работает защита продукта? Я должен знать кого-то, чтобы правильно решить мою проблему безопасности? " - пошутил он.
Подорвал ли этот инцидент вашу веру в платформу домашней автоматизации Apple? Напишите нам @TrustedReviews в Twitter.