HWSW

Okoszárakat is érintett a HomeKit sebezhetőség

Az Apple első körben szerveroldalon, néhány funkció lekapcsolásával orvosolta a hibát, de hamarosan érkezik a teljes értékű javítás. A felhasználóknak nincs teendőjük az ügyben.

Súlyos, zero-day HomeKit sebezhetőséget foltozott az Apple, amelyen keresztül támadóknak egy sor, a rendszerhez csatlakoztatott okoseszközhöz lehetőségük nyílt hozzáférést szerezni - beleértve több okoszárat is.

A szóban forgó biztonsági rés a keretrendszer egy megbízhatósági hiba miatt idő előtt kiadott [1] iOS 11.2-es verzióját érintette, arról először a 9to5mac számolt be. [2] Az oldal nem közli a hiba pontos műszaki részleteit, noha annyit elárul, azt "nehéz volt reprodukálni": ahhoz legalább egy iOS 11.2-t futtató iPhone-ra vagy iPadre van szükség, amely az adott HomeKit felhasználó iCloud fiókjához csatlakozott. A korábbi iOS verziók a lap forrásai szerint nem érintettek. A sebezhetőséget kihasználva illetéktelenül átvehető az irányítás a HomeKithez csatlakoztatott készülékek fölött, beleértve az okosizzókat, termosztátokat, fali aljzatokat és zárakat is. Értelemszerűen utóbbiak sebezhetősége jelentette a legnagyobb biztonsági kockázatot a felhasználók számára.

Az Apple szerencsére gyorsan lépett az ügyben, és szerveroldalon javította a biztonsági rést, így az már nem jelent veszélyt a keretrendszer felhasználóira. A gyors ütemben kiadott patch a HomeKit bizonyos funkcióit korlátozza, ugyanakkor ez csak ideiglenes javítást jelent, a cég a jövő héten kiadott iOS frissítésében a hiba befoltozása mellett a HomeKit teljes funkcionalitását is visszaállítja.

aaplhmkit

xAz Apple-t a hiba felfedezői még október végén értesítették a biztonsági résről, így annak orvoslását már az iOS 11.2-ben, illetve a nemrég megjelent watchOS 4.2-ben megkezdte a cég, teljesen azonban a legutóbbi rendszerverziók kiadásáig nem sikerült azt befejeznie, ezért az időleges szerveroldali korlátozások. A felhasználóknak mindenesetre nincs teendőjük az ügyben, a cég nyilatkozata szerint a problémát már megoldotta, a jövő heti frissítésig ugyanakkor az ideiglenes javítás lekapcsolja a távoli hozzáférés lehetőségét a HomeKitre csatlakozott eszközökhöz azon külső felhasználók számára, akikkel az adott rendszer gazdája megosztotta azt.

Hogy a cupertinói óriás azonnal kezelte a problémát, kifejezetten példás lépés a cég részéről, az eset azonban ismét rávilágít, hogy nem csak a notebookok és okostelefonok, de a háztartásokban egyre szaporodó okoseszközök (illetve az azokat terelgető keretrendszerek) esetében is kiemelten fontos (lenne) az online biztonság. A területnek pedig talán a legérzékenyebb szeletét épp az okoszárak jelentik, amelyeknél az online és fizikai biztonság kérdése találkozik. Az elmúlt egy-két évben többször is láthattunk sebezhetőségeket felbukkanni valamilyen online kapcsolattal rendelkező zárrendszeren, elég a Samsung IoT platformja, a SmartThings tavalyi biztonsági fiaskójára gondolni, [3] amely az online zárak kinyitását is lehetővé tette, vagy épp a LockState idén nyár végi gikszerére [4]- szerencsére utóbbinál a zárak egyszerűen "elbutultak".

Ugyanakkor gyors válaszlépés ide vagy oda, az Apple-nek így is kifejezetten fájdalmas a hiba, főleg annak fényében, hogy alig néhány napja derült fény egy a cég asztali operációs rendszerét sújtó, komoly sérülékenységre és egy iOS-bugra is [5]. Előbbit kihasználva a MacOS-ben jelszó megadása nélkül lehetett root jogosultságot szerezni, míg az iOS-es hiba miatt folyamatosan újraindultak az érintett készülékek. A cégnek ezeknél sem tartott sokáig kiadni a javítást, a gyors egymásutánban jelentkező problémák azonban így is megingathatják a felhasználók bizalmát.

A cikkben hivatkozott linkek:
[1] https://www.hwsw.hu/hirek/58145/apple-macos-ios-bug-hiba-biztonsagi-res-security-root-iphone-macbook.html
[2] https://9to5mac.com/2017/12/07/homekit-vulnerability/
[3] https://www.hwsw.hu/hirek/55556/samsung-iot-biztonsag-sebezhetoseg-smartthings.html
[4] https://www.hwsw.hu/hirek/57655/biztonsag-iot-lockstate-zar-frissites.html
[5] https://www.hwsw.hu/hirek/58145/apple-macos-ios-bug-hiba-biztonsagi-res-security-root-iphone-macbook.html
A cikk adatai:
//www.hwsw.hu/hirek/58171/apple-okoszar-homekit-iot-okosotthon-biztonsag.html
Író: Hlács Ferenc (feradyr@gmail.com)
Dátum: 2017. december 08. 13:30
Rovat: vállalati it