| 7 декабря 2017 г. — 1:03 PT
Уязвимость в HomeKit в текущей версии iOS 11.2 была продемонстрирована журналу 9to5Mac, позволяя несанкционированное управление аксессуарами, включая умные замки и открыватели гаражных ворот. Насколько нам известно, Apple внедрила исправление на стороне сервера, которое предотвращает несанкционированный доступ, одновременно ограничивая некоторую функциональность, а обновление до iOS 11.2, которое выйдет на следующей неделе, восстановит полную функциональность.
Уязвимость, которую мы не будем описывать подробно и которую было трудно воспроизвести, позволяла несанкционированно управлять подключенными к HomeKit аксессуарами, включая умные осветительные приборы, термостаты и розетки.
Самым серьезным последствием этой уязвимости до исправления был несанкционированный удаленный контроль над умными замками и подключенными открывателями гаражных ворот, причем последнее было продемонстрировано 9to5Mac.
Проблема заключалась не в самих продуктах для умного дома, а в самом фреймворке HomeKit, который объединяет продукты от различных компаний.
Пользователям сегодня не нужно предпринимать никаких действий для решения проблемы, так как выпускаемое исправление является серверным. Будущее обновление iOS, которое выйдет на следующей неделе, устранит любую нарушенную функциональность.
Уязвимость требовала наличия как минимум одного iPhone или iPad на iOS 11.2, последней версии мобильной операционной системы Apple, подключенного к учетной записи iCloud пользователя HomeKit; более ранние версии iOS не были затронуты.
Pretty big deal. Amazing scoop by @apollozac and even better working with Apple on a fix for 48 hours prior to publishing https://t.co/Kgm16C6cny
— Seth Weintraub (@llsethj) December 7, 2017
Нам также известно, что Apple была уведомлена об этой и связанных с ней уязвимостях в конце октября, и некоторые, но не все проблемы были исправлены в рамках iOS 11.2 и watchOS 4.2, которые были выпущены на этой неделе. Другие проблемы в этой категории были исправлены Apple на стороне сервера, поэтому конечным пользователям не нужно было предпринимать никаких действий.
Apple предоставила 9to5Mac следующее заявление по этому вопросу:
«Проблема, затронувшая пользователей HomeKit с iOS 11.2, устранена. Исправление временно отключает удаленный доступ для совместно используемых пользователей, который будет восстановлен в обновлении программного обеспечения в начале следующей недели».
Мы считаем, что доведение этой уязвимости до нашего сведения способствовало более скорой подготовке решения, чем это могло бы быть в противном случае, и наши читатели заслуживают знать о существовании уязвимости. Серьезность этой уязвимости также налагает на 9to5Mac как на издание, ответственность за то, чтобы делиться с нашей аудиторией тем, что мы знаем, если мы собираемся продолжать освещать HomeKit и продукты для умного дома.
Означает ли выпуск этой уязвимости, что вам больше не следует доверять HomeKit или продуктам для умного дома? Реальность такова, что ошибки в программном обеспечении случаются. Они всегда случались, и, вероятно, всегда будут случаться, если не произойдет прорыва в методах разработки программного обеспечения. То же самое касается и аппаратного обеспечения, которое может быть неисправным и требовать отзыва. Разница в том, что программное обеспечение может быть исправлено по воздуху без полного отзыва.
Однако доверие к HomeKit и продуктам для умного дома в отношении вашей безопасности придется принимать как личное решение, как это было всегда. Лично я, как только эта уязвимость будет исправлена, буду чувствовать себя достаточно уверенно, полагаясь на решения безопасности HomeKit для защиты, но вы всегда можете использовать старый добрый замок и ключ или установить камеры видеонаблюдения в качестве дополнительной меры.
Я также хотел бы знать, как и в случае с корневой проблемой безопасности, затронувшей Mac на прошлой неделе, что процесс разработки, приведший к выпуску этой уязвимости, и тот факт, что проблема оставалась активной в течение нескольких недель без ведома пользователей, были проверены, и, если возможно, были внесены изменения.
Суть в том, что если подключенный к HomeKit замок или открыватель гаражных ворот заведомо не может обезопасить ваш дом, клиентам не следует давать возможность оценивать риски, связанные с какими-либо известными уязвимостями.
Мы надеемся, что, освещая эту конкретную уязвимость, мы сможем оказать значительное влияние на улучшение процессов обеспечения качества и аудита безопасности, чтобы HomeKit мог стать лучшим решением в будущем и оправдать свою репутацию самого безопасного фреймворка для умного дома.