Сигурносна рупа ХомеКит довела је паметне домове у ризик - а Аппле их је игнорисао 6 недеља

Аппле је наводно игнорисао рањивост у оквиру своје платформе паметног дома ХомеКит која му је омогућила да га лако отме свако ко има Аппле Ватцх.

Запањујућа мана у одређеним верзијама ватцхОС 4 омогућила је неовлашћеним корисницима покретање ХомеКит уређаја попут брава, врата, камера и паметних утикача.

Програмер Кхаос Тиан, који је открио грешку у октобру, каже да ће Аппле делити листе ХомеКит додатака и њихових кључева за шифровање током несигурних сесија са ватцхОС 4.0 или 4.1.

Повезан: Преглед Аппле Хоме-а и ХомеКит-а

Након прибављања информација, нападач са Аппле Ватцх-ом могао би да преузме потпуну контролу над технологијом, а да Аппле не провери да ли је одобрио приступ.

У а пост на Медиум (путем Енгадгет), програмер објашњава: „Са тим јединственим идентификаторима, удаљени нападач може затражити од ХомеКит-а да ради готово све.“

„Обично би требало да буде немогуће да било ко схвати јединствени идентификатор тих објеката, осим ако нисте стварно овлашћени да приступите том дому у ХомеКит-у.

„Међутим, постоје две одвојене грешке, једна у ватцхОС 4 - 4.1, а друга у иОС 11.2 и ватцхОС 4.2, дозвољавају некога ко ће открити те јединствене идентификаторе без претходног овлашћења особе да приступи дому место. “

Програмер, који претпоставља да пише под псеудонимом, каже да је Аппле одмах пријавио ту грешку још у октобру.

Шест недеља касније

Међутим, упркос сазнањима о његовом постојању, компанија је објавила ватцхОС 4.2 и иОС 11.2 са сигурносним екплоитом који је још увек на снази, проширујући проблем.

Аппле је коначно објавио поправак 13. децембра, са иОС 11.2.1, што значи да је био у игри шест недеља пре него што је Цупертино нешто учинио по том питању.

С обзиром на то да Аппле већ дуго тврди да је ХомеКит „дизајниран са приватношћу и сигурношћу од самог почетка“, ово је срамотно и тиче се развоја.

Тиан је чак рекао да је имао више успеха у добијању одговора када је Апплеов блог 9то5Мац контактирао Апплеов ПР тим у његово име.

„Претпостављам да тако сада функционише безбедност производа? Морам да знам некога да бих исправно решио мој безбедносни проблем? “ иживљавао се.

Да ли вам је овај инцидент оштетио веру у Аппле-ову платформу за аутоматизацију куће? Пошаљите нам линију @ТрустедРевиевс на Твиттер.