HomeKit i podatność na nieautoryzowany zdalny dostęp

Jak podaje 9to5mac, w iOS 11.2 pojawił się błąd pozwalający na nieautoryzowany zdalny dostęp do urządzeń HomeKit. Na szczęście występuje on wyjątkowo rzadko i jest trudny do powtórzenia, a Apple już zablokowało możliwość jego użycia.

Co w HomeKit działa źle?

Problem występuje (a w zasadzie występował) jedynie w iOS 11.2, gdy udzieliliśmy dostępu do zasobów HomeKit innym użytkownikom, czyli wysłaliśmy zaproszenie np. jakiemuś domownikowi, aby mógł też korzystać z urządzeń HomeKit. Dodatkowo problem dotyczy tylko dostępu zdalnego. Oznacza to, że trzeba mieć w sieci Apple TV lub iPada w roli „zarządcy” HomeKit. Bez tego i tak nie mamy dostępu do urządzeń HomeKit poza siecią lokalną.

Jak Apple naprawił błąd?

Tymczasowo… po prostu zablokował zdalny dostęp do HomeKit zaproszonym użytkownikom. Mogą oni używać HomeKit jedynie w sieci lokalnej. Apple zrobił to po stronie serwera, wyłączając po prostu tę funkcję w HomeKit.

Jak poinformował 9to5mac, Apple zadeklarował, że błąd będzie naprawiony aktualizacją iOS 11.2 w przyszłym tygodniu.

Mam dwie wiadomości…

oczywiście dobrą i złą.
Ta dobra to: luka nie występuje w protokołach komunikacji z urządzeniami HomeKit. W sieci lokalnej, po Bluetooth, w domu (firmie) wszystko jest ok. To naprawdę dobrze pomyślany i zabezpieczony system.
Zła wiadomość: problem powstał w dostępie do danych iCloud, które „Centrum akcesoriów”, czyli Apple TV lub iPad, używa do komunikacji ze zdalnymi (będącymi poza siecią lokalną) użytkownikami. I ten problem „wyłączył” tymczasowo Apple.
A mówiło się, że miniony tydzień był „czarnym tygodniem błędów Apple”.
Źródło: https://9to5mac.com/2017/12/07/homekit-vulnerability/