Apple игнорировала главный недостаток безопасности HomeKit в течение шести недель

22.12.2017 2:18 33

Apple игнорировала главный недостаток безопасности HomeKit в течение шести недель

Платформа домашней автоматизации Apple HomeKit продается на основе безопасности, конфиденциальности и доверия - пользователям приходилось покупать совершенно новые аксессуары с одобренными Apple компонентами безопасности, чтобы их запустить. Но еще в октябре разработчик обнаружил огромную уязвимость, которая по существу означала, что незнакомец мог пройти в дом, используя некоторые базовые технологические ноу-хау и Apple Watch. И Apple только что зафиксировала это.

Khaos Tian пишет на Medium, что HomeKit делил данные на аксессуарах HomeKit и ключах шифрования по небезопасным сеансам с помощью Apple Watches, работающего под управлением watchOS 4.0 или 4.1, который в основном обеспечивал контроль над каждым аксессуаром HomeKit (замки, камеры, источники света) любому недобросовестному обладателю Apple Watch. Tian говорит, что он сообщил о проблеме Apple Product Security, которая каким-то образом ухудшила ситуацию, расширив этот недостаток, поэтому неавторизованные устройства iOS 11.2 также могут получать конфиденциальные данные. В основном, они пошли от оставления ключей в передней двери, чтобы оставить дверь широко открытой.

Несмотря на неоднократную отправку электронной почты Apple в течение ноября, Tian не имел успеха в получении ответа от компании, поэтому прибегнул к контакту с 9to5Mac, который связался с командой PR от Apple от имени Tian. Он пишет, что Apple PR были «гораздо более отзывчивыми», чем команда Apple Product Security. 13 декабря - примерно через шесть недель после того, как Tian впервые отметил уязвимость - Apple исправила проблему с iOS 11.2.1.

HomeKit продается по смелой заявке, что вы можете полностью доверять своему дому Apple. Более того, чем любая другая компания, на самом деле, поскольку система требует от пользователей покупки «особо безопасных» компонентов, одобренных Apple. Но, как пишет Tian, «будьте бдительны, когда кто-то делает обещание, что что-то безопасно», потому что, как показывает Apple, не так уж сложно вызвать «полную разбивку системы безопасности всей системы».