苹果HomeKit漏洞早在十月被发现,却花了6周时间才修复
一直强调安全、隐私保护的苹果,在前段时间被曝出其iOS 11系统存在HomeKit的安全漏洞,可以被不法黑客进行攻击从而控制用户的智能家居设备,比如直接打开智能门锁,随后苹果通过服务器和系统更新修复了这个问题。这样的事情发生在苹果身上是难以置信的,近日这个漏洞的发现者,一为名叫Khaos Tian的开发者,特别发文讲述这起事件的来龙去脉。
Khaos Tian在Medium的专栏中发文表示,苹果的HomeKit主要由iOS上控制软件和一个通讯协议组成,这次安全漏洞主要是出现在控制软件中。iOS和watchOS上有两个bug会允许非授权用户发现HomeKit的唯一识别码,用于控制智能家居设备,HomeKit在处理请求时并不会检查发出遥控信息的用户,这使得任何人都可以通过遥控来获得对智能设备的使用权。
HomeKit didn’t check the sender of remote message before processing the request, which ended up allowing potentially anyone to remotely control HomeKit accessories in the home.
这位开发者特别提到,他在10月份发现这个问题的第二天(10月28日),便报告给了苹果的产品安全团队,苹果有作了回复,也确实在后面数周对该问题进行了跟踪排查,期间Tian多次电邮希望协助苹果解决问题,但都没有收到回复,Tian便以为苹果已经可以修复漏洞。意外的是,苹果反而在随后的iOS 11.2系统更新中弄出了更多漏洞,使得HomeKit更容易受到攻击和操纵。
因此在对苹果这种笨拙、散漫和缺乏沟通的行为感到不满后,Tian选择把事情爆料给9to5Mac,让大家知道了有这件危险的事情。这样迫于公众压力下,苹果的软件工程师在48小时内便作了临时的修复,主要是通过在服务器端关闭了HomeKit允许用户发送共享控制的功能。
即便这样,苹果也是在Tian报告该漏洞后6个星期,才作出了有效的反应,而真正的bug修复则是在本月14日的iOS 11.2.1系统更新上。这样的安全漏洞修复工作效率,显然是让人对苹果感到失望的,特别这是一家近万亿美元市值、常常讲安全性的科技公司,实在不该有。