Apple tygodniami ignorowało lukę w HomeKit

Jeden z deweloperów twierdzi, że przez sześć tygodni Apple ignorowało ważną lukę w ekosystemie HomeKit. Narażało tym samym jej użytkowników.

HomeKit, to opracowana przez Apple platforma inteligentnego domu, pozwalająca kontrolować wiele zainstalowanych w nim urządzeń. Użytkownicy mogą zdalnie sterować oświetleniem, ogrzewaniem, a nawet elektronicznymi zamkami, zapewniającymi dostęp do domu.

Platforma powinna więc być w pełni bezpieczna, gdyż w założeniach chronić ma naszą często bardzo kosztowną własność. Tymczasem okazuje się, że nie była, gdyż według jednego z deweloperów, Apple przez pół roku ignorowało ważną lukę w swym ekosystemie.

Deweloper ukrywający się pod pseudonimem Khaos Tian twierdzi, że HomeKit, poprzez niezabezpieczoną sesję udostępniało dane oraz klucze szyfrujące dla smartwatchy Apple Watch, działających na watchOS 4.0 oraz 4.1. W ten sposób zupełnie dowolny użytkownik zegarka, mógł przejąć całkowitą kontrolę nad kamerami monitoringu, oświetleniem, a nawet nad zamkami.

Tian twierdzi, że powiadomił o tym fakcie dział bezpieczeństwa produktu Apple. Ale zamiast naprawić błąd, pogorszono tylko sytuację, rozszerzają lukę w taki sposób, że nieautoryzowane urządzenia z iOS 11.2, również mogły otrzymywać wrażliwe dane. Deweloper porównuje sytuację do zostawiania klucza do mieszkania na wycieraczce, lub wręcz pozostawienia otwartych drzwi do domu, co umożliwiało wejście do niego dowolnej osobie.

Programista wyjaśnia, że lukę odkrył w październiku. I choć przez cały listopad bombardował Apple emailami, to nie otrzymał od firmy żadnej odpowiedzi. Dopiero gdy użył mediów, dział PR koncernu skontaktował się z nim i wówczas podjęto działania. Tak więc, po sześciu tygodniach od odkrycia luki, koncernowi udało się ją załatać w aktualizacji iOS 11.2.1

Źródło: Engadget.com