苹果令人讨厌的HomeKit漏洞背后的故事

当苹果在2014年宣布 HomeKit时,它强调“HomeKit从一开始就被设计为隐私和安全”,这样“只有你的iPhone才能打开你的车库门或打开你的门。事实证明,由于开发人员最近与9to5Mac合作揭示了一个令人讨厌的漏洞,最后一点并不完全正确。而现在,苹果已经修补了这个错误,这个名叫Khaos Tian的开发者已经到了Medium,为他们提供了令人沮丧的所有细节。

基本上,在watchOS和iOS中的两个漏洞都允许未经授权的用户发现HomeKit与家中对象进行交互所需的唯一标识符。田说:“HomeKit在处理请求之前没有检查远程消息的发送者,最终允许任何人远程控制家中的HomeKit配件。在实践中,这意味着任何人都可以打开车库门或从远程位置用HomeKit锁定的前门。

田说,他在10月下旬通知苹果公司产品安全团队。在接下来的几个星期里,苹果确实解决了田提出的一些问题,但也引入了一个新的漏洞,使得攻击“更容易”执行。

田说,在苹果公司的无能、拖延和缺乏沟通的情况下,他表示接触9to5Mac,很快发现了公关的力量:苹果公司的工程师在出版后48小时内联系了苹果公关公司。临时修补程序 - 禁用人们向其他人发送HomeKit消息的能力 - 于最初报告漏洞六周后的12月7日颁布。几天后,真正的HomeKit修复程序通过软件更新发布。

“难怪现在人们只在推特上发布安全问题。?” 田感叹。“我们生活在一个怎样的世界。”

 

 

本文摘自:THE VERGE

本文由 华盟网 作者:excalibur 发表,其版权均为 华盟网 所有,文章内容系作者个人观点,不代表 华盟网 对观点赞同或支持。如需转载,请注明文章来源。

0

相关文章

发表评论

电子邮件地址不会被公开。