Достучаться до Apple — сколько времени потребовалось, чтобы залатать брешь в HomeKit

8 декабря 2017 года Apple сообщила о том, что закрыла в HomeKit уязвимость, которая могла способствовать несанкционированному доступу в жилище. Разработчик, обнаруживший брешь, рассказал изданию 9to5Mac о работе по устранению проблемы.

Кхаос Тиан обнаружил проблемы в системе безопасности Apple HomeKit еще 28 октября 2017 года. Он немедленно сообщил об этом корпорации, но формальный ответ последовал только через два дня. В электронном письме сообщалось, что эксперты Apple займутся решением проблемы в течение ноября.

Разработчик отправил еще несколько сообщений с подробным описанием ошибки 31 октября, 2 и 16 ноября. 27 ноября Кхаос решил написать Крейгу Федериги — старшему вице-президенту по разработке программного обеспечения. По мнению Тиана, было важно донести суть проблемы до инженерной команды.

По всей видимости, этого не произошло. iOS 11.2 вышла без необходимых изменений. Какие-то проблемы были исправлены, но некорректная обработка некоторых сообщений сделала систему еще уязвимее к атакам.

Проблема безопасности доступа состояла из двух ключевых моментов:

  • из-за багов любое лицо могло завладеть уникальными кодами доступа к Apple HomeKit;
  • посторонний человек мог отправить команду на устройство управления умным домом, и HomeKit выполнял ее без всякой проверки отправителя.

Тогда разработчик решил обратиться к корпорации через друзей, которые работали в 9to5Mac. Те отправили запрос в PR-службу Apple, и в течение 48 часов корпорация выпустила временный патч, а потом и вовсе устранила уязвимость.

Ни сам Кхаос, ни редакция не публиковали данные об ошибке, пока Apple не выпустила обновление OS 11.2.1.

«Это очень грустно, что для того, чтобы решить действительно серьезную проблему, приходится действовать через связи и прессу. Поэтому множество людей и закрывает глаза на проблемы с безопасностью доступа в приложениях, и мы по-прежнему живем в мире опасного ПО», — прокомментировал ситуацию Тиан.

Следите за новостями Apple в нашем Telegram-канале, а также в приложении MacDigger на iOS.

Источник: MacDigger.ru

3 комментария

  • Ну так он бы в майкрософт или в гугл попробовал бы отправить запрос. Ждал бы ответа до второго пришествия. А какой-нибудь самсунг и вовсе бы послал подальше - им некогда - надо пилить новые модели телефонов, а что будет со старыми пофиг.
    • Даже если завтра выйдет статья "Apple кормит фанатов поносом", яблочники скажут "Ну и что, зато Самсунг кормит твердым калом, понос хоть жевать не надо"
    • Хоть сам понял, чё сказал?? Между прочим, Samsung, одна из немногих корпораций, которая даже отозвала Galaxy Note 7, причём случаев с аккумуляторами - несколько.. Напомнить о проблемах с iPhone?))) И чё, отозвала ли Apple что-то...