Apple пренебрегва сериозна уязвимост в HomeKit в продължение на шест седмици

[dessyteneva]

Платформата за домашна автоматизация HomeKit на Apple се продава на базата на сигурност, поверителност и доверие – потребителите трябва да закупят нови аксесоари с одобрени от компанията компоненти за сигурност. Но през октомври един разработчик откри огромна уязвимост, която по същество позволява на всеки с технически познания и Apple Watch, да проникне в дома ви, а Apple само я фиксира.

Под името Khaos Tian, разработчикът пише на Medium, че Home Kit споделя данни за собствеността, криптиращи ключове за несигурни сесии с часовниците работещи с watchOS 4.0 и по-нова версия, които могат да контролират всеки аксесоар. Тиен съобщава, че е докладвал на гиганта за проблема на Apple Product Security, който по някакъв начин влошавал ситуацията, като разширявал уязвимостта така, че неразрешени устройства с iOS 11.2 да могат да получат чувствителните данни. Независимо от множеството имейли, изпратени до Apple през ноември, разработчикът така и не получил отговор и се свързал с 9to5Mac, а сайтът от своя страна направил връзка с PR екипа на компанията от негово им, който се оказал доста по-отзивчив. На 13 декември, около 6 седмици след като уязвимостта за пръв път била открита, Apple отстрани проблема с iOS 11.2.1.

HomeKit се продава с твърдението, че можете да поверите дома си на Apple, а компанията изисква от потребителите да закупят „изключително сигурни“ компоненти, одобрени от нея, но както пише Тиен, те трябва да бъдат особено бдителни когато някой прави подобно обещание, защото както демонстрира Apple, не е много трудно да се открие уязвимост, която засяг сигурността на цялата система.