HomeKit güvenlik açığı akıllı evleri riske attı ve Apple bunu 6 hafta boyunca görmezden geldi
Apple'ın, HomeKit akıllı ev platformundaki bir güvenlik açığını görmezden geldiği ve Apple Watch'a sahip herhangi biri tarafından kolayca ele geçirilebileceği bildirildi.
WatchOS 4'ün belirli sürümlerindeki şaşırtıcı kusur, yetkisiz kullanıcıların kilitler, kapılar, kameralar ve akıllı prizler gibi HomeKit cihazlarını tetiklemesini mümkün kıldı.
Ekim ayında hatayı keşfeden geliştirici Khaos Tian, Apple'ın HomeKit aksesuarlarının listelerini ve bunların şifreleme anahtarlarını güvenli olmayan oturumlarda watchOS 4.0 veya 4.1 ile paylaşacağını söyledi.
İlişkili: Apple Home ve HomeKit incelemesi
Bilgiyi aldıktan sonra, Apple Watch'a sahip bir saldırgan, Apple'ın erişim izni olup olmadığını kontrol etmeden teknolojinin tam kontrolünü ele geçirebilir.
İçinde Medium'da yayınla (üzerinden Engadget) geliştirici şöyle açıklıyor: "Bu benzersiz tanımlayıcılarla, uzak saldırgan HomeKit'ten neredeyse her şeyi yapmasını isteyebilir."
“Normalde, HomeKit'te o eve erişme yetkiniz yoksa, herhangi birinin bu nesneler için benzersiz tanımlayıcıyı bulması imkansız olmalıdır.
"Ancak, biri watchOS 4 - 4.1'de ve diğeri iOS 11.2 ve watchOS 4.2'de olmak üzere iki ayrı hata var. kişiye ilk önce eve erişme yetkisi vermeden bu benzersiz tanımlayıcıları bulacak biri yer. "
Muhtemelen bir takma ad altında yazan geliştirici, kusuru Ekim ayında Apple'a derhal bildirdiğini söylüyor.
Altı hafta sonra
Bununla birlikte, varlığını bilmesine rağmen, şirket, güvenlik açığının hala devam ettiği watchOS 4.2 ve iOS 11.2'yi piyasaya sürdü ve sorunu daha da genişletti.
Apple nihayet 13 Aralık'ta iOS 11.2.1 ile bir düzeltme yaptı, yani Cupertino'nun bu konuda herhangi bir şey yapmadan altı hafta boyunca oyunda olduğu anlamına geliyordu.
Apple'ın uzun süredir HomeKit'in "en başından beri gizlilik ve güvenlikle tasarlandığını" iddia ettiği düşünüldüğünde, bu utanç verici ve endişe verici bir gelişme.
Tian, 9to5Mac adlı Apple blogu Apple'ın PR ekibiyle onun adına iletişime geçtiğinde yanıt alma konusunda daha başarılı olduğunu söyledi.
"Sanırım artık ürün güvenliği böyle mi çalışıyor? Güvenlik sorunumun düzgün bir şekilde çözülmesi için birini tanımam gerekiyor mu? " alay etti.
Bu olay Apple’ın ev otomasyon platformuna olan inancınızı zedeledi mi? Twitter'da @TrustedReviews bize yazın.