Достучаться до Apple — сколько времени потребовалось, чтобы залатать брешь в HomeKit

8 декабря 2017 года Apple сообщила о том, что закрыла в HomeKit уязвимость, которая могла способствовать несанкционированному доступу в жилище. Разработчик, обнаруживший брешь, рассказал изданию 9to5Mac о работе по устранению проблемы.

Кхаос Тиан обнаружил проблемы в системе безопасности Apple HomeKit еще 28 октября 2017 года. Он немедленно сообщил об этом корпорации, но формальный ответ последовал только через два дня. В электронном письме сообщалось, что эксперты Apple займутся решением проблемы в течение ноября.

Разработчик отправил еще несколько сообщений с подробным описанием ошибки 31 октября, 2 и 16 ноября. 27 ноября Кхаос решил написать Крейгу Федериги — старшему вице-президенту по разработке программного обеспечения. По мнению Тиана, было важно донести суть проблемы до инженерной команды.

По всей видимости, этого не произошло. iOS 11.2 вышла без необходимых изменений. Какие-то проблемы были исправлены, но некорректная обработка некоторых сообщений сделала систему еще уязвимее к атакам.

Проблема безопасности доступа состояла из двух ключевых моментов:

• из-за багов любое лицо могло завладеть уникальными кодами доступа к Apple HomeKit;
• посторонний человек мог отправить команду на устройство управления умным домом, и HomeKit выполнял ее без всякой проверки отправителя.

Тогда разработчик решил обратиться к корпорации через друзей, которые работали в 9to5Mac. Те отправили запрос в PR-службу Apple, и в течение 48 часов корпорация выпустила временный патч, а потом и вовсе устранила уязвимость.

Ни сам Кхаос, ни редакция не публиковали данные об ошибке, пока Apple не выпустила обновление OS 11.2.1.

«Это очень грустно, что для того, чтобы решить действительно серьезную проблему, приходится действовать через связи и прессу. Поэтому множество людей и закрывает глаза на проблемы с безопасностью доступа в приложениях, и мы по-прежнему живем в мире опасного ПО», — прокомментировал ситуацию Тиан.

Следите за новостями Apple в нашем Telegram-канале, а также в приложении MacDigger на iOS.

Присоединяйтесь к нам в Twitter, ВКонтакте, Facebook, Google+ или через RSS, чтобы быть в курсе последних новостей из мира Apple, Microsoft и Google.

Источник

• 1:05 Срочный ремонт iPhone 12 Pro Max в Киеве в «А-Сервис»
• 20:15 Советы по ставкам на Лигу Чемпионов
• 20:51 Понимание налоговых последствий выигрышей в азартных играх
• 20:02 Резинотехнические изделия от компании РТИ-Сервис
• 12:28 Какие функции выполняет пережимной клапан
• 21:46 Печатные каталоги: виды и изготовление
• 15:40 Гидроножницы для демонтажа бетонных и металлических конструкций: выбираем оборудование под проект
• 16:17 Технологии изготовления керамических виниров
• 19:39 Аренда VPS/VDS: достоинства и недостатки
• 12:25 Гиперконвергентное решение vStack: Российский гипервизор для современных IT-инфраструктур
• 8:27 Основы пентестирования: Что это и зачем это нужно
• 22:00 Наушники Sony: Совершенство звука и технологий
• 8:18 ИТСА: ключ к безупречной технике - ремонт гаджетов и электроники
• 10:00 Развитие и важность поддержки Cisco в России: роль и преимущества для бизнеса
• 19:59 Аутсорсинг – лучшее решение для вашей компании
• 4:55 Программы автоматизации бизнес-процессов, существующие на рынке
• 7:35 Технологии будущего CG-NAT
• 12:23 Установка отечественных siem систем
• 15:38 Как технологии влияют на сферы нашей жизни?
• 23:35 Бытовая техника и профессиональное оборудование от бренда Miele
• 0:25 Гиперконвергентная платформа – современная инфраструктура
• 12:41 Программы от американского разработчика Autodesk, Inc.
• 12:39 Общедомовой универсальный счётчик воды
• 11:49 Уборка в офисе после ремонта эффективно и быстро
• 13:08 Бесплатная настройка спутникового оборудования Триколор в Санкт-Петербурге и области

© 2000-2020, «Электроника и техника». Все права защищены.

При копировании материалов прямая открытая для поисковых систем гиперссылка на electronika.spb.ru обязательна.

Карта сайта XML