Bezpečnostná diera HomeKit vystavila inteligentné domy riziku - a Apple to ignoroval 6 týždňov

Spoločnosť Apple údajne ignorovala zraniteľnosť svojej platformy HomeKit pre inteligentné domácnosti, vďaka ktorej mohla byť ľahko unesená ktokoľvek s Apple Watch.

Zarážajúca chyba v určitých verziách watchOS 4 umožnila neoprávneným používateľom spúšťať zariadenia HomeKit, ako sú zámky, dvere, kamery a inteligentné konektory.

Vývojár Khaos Tian, ​​ktorý chybu objavil v októbri, tvrdí, že Apple bude zdieľať zoznamy príslušenstva HomeKit a ich šifrovacích kľúčov počas nezabezpečených relácií s watchOS 4.0 alebo 4.1.

Súvisiace: Recenzia Apple Home a HomeKit

Po získaní informácií mohol útočník s hodinkami Apple Watch prevziať úplnú kontrolu nad technológiou bez toho, aby Apple skontroloval, či majú autorizovaný prístup.

V príspevok na médiu (cez Engadget), vývojár vysvetľuje: „S týmito jedinečnými identifikátormi môže vzdialený útočník požiadať HomeKit, aby urobil takmer čokoľvek.“

"Normálne by malo byť nemožné, aby ktokoľvek zistil jedinečný identifikátor pre tieto objekty, pokiaľ nemáte skutočné oprávnenie na prístup k tomuto domovu v HomeKit."

„Existujú však dve samostatné chyby, jedna v watchOS 4 - 4.1 a druhá v iOS 11.2 a watchOS 4.2, umožňujú niekto, kto zistí tieto jedinečné identifikátory, bez toho, aby predtým osobe povolil prístup do domácnosti miesto. “

Vývojár, ktorý pravdepodobne píše pod pseudonymom, tvrdí, že chybu okamžite nahlásil spoločnosti Apple už v októbri.

O šesť týždňov neskôr

Napriek tomu, že vedela o svojej existencii, spoločnosť vydala watchOS 4.2 a iOS 11.2 s bezpečnostným exploitom stále na mieste, čím sa problém rozšíril.

Spoločnosť Apple konečne uviedla opravu 13. decembra s iOS 11.2.1, čo znamená, že bola v hre šesť týždňov, kým s tým Cupertino niečo neurobil.

Ak vezmeme do úvahy, že Apple už dlho tvrdí, že HomeKit bol „navrhnutý s ochranou súkromia a bezpečnosti od samého začiatku“, je to trápny a súvisí s vývojom.

Tian dokonca uviedol, že pri získavaní odpovede mal väčší úspech, keď blog spoločnosti Apple 9to5Mac kontaktoval v jeho mene PR tím spoločnosti Apple.

"Myslím, že takto teraz funguje zabezpečenie produktu? Musím niekoho poznať, aby sa môj bezpečnostný problém dal správne vyriešiť? “ zavtipkoval.

Poškodil tento incident vašu vieru v platformu domácej automatizácie spoločnosti Apple? Napíšte nám linku @TrustedReviews na Twitteri.