Okoszárakat is érintett a HomeKit sebezhetőség
Az Apple első körben szerveroldalon, néhány funkció lekapcsolásával orvosolta a hibát, de hamarosan érkezik a teljes értékű javítás. A felhasználóknak nincs teendőjük az ügyben.
Súlyos, zero-day HomeKit sebezhetőséget foltozott az Apple, amelyen keresztül támadóknak egy sor, a rendszerhez csatlakoztatott okoseszközhöz lehetőségük nyílt hozzáférést szerezni - beleértve több okoszárat is.
A szóban forgó biztonsági rés a keretrendszer egy megbízhatósági hiba miatt idő előtt kiadott iOS 11.2-es verzióját érintette, arról először a 9to5mac számolt be. Az oldal nem közli a hiba pontos műszaki részleteit, noha annyit elárul, azt "nehéz volt reprodukálni": ahhoz legalább egy iOS 11.2-t futtató iPhone-ra vagy iPadre van szükség, amely az adott HomeKit felhasználó iCloud fiókjához csatlakozott. A korábbi iOS verziók a lap forrásai szerint nem érintettek. A sebezhetőséget kihasználva illetéktelenül átvehető az irányítás a HomeKithez csatlakoztatott készülékek fölött, beleértve az okosizzókat, termosztátokat, fali aljzatokat és zárakat is. Értelemszerűen utóbbiak sebezhetősége jelentette a legnagyobb biztonsági kockázatot a felhasználók számára.
Az Apple szerencsére gyorsan lépett az ügyben, és szerveroldalon javította a biztonsági rést, így az már nem jelent veszélyt a keretrendszer felhasználóira. A gyors ütemben kiadott patch a HomeKit bizonyos funkcióit korlátozza, ugyanakkor ez csak ideiglenes javítást jelent, a cég a jövő héten kiadott iOS frissítésében a hiba befoltozása mellett a HomeKit teljes funkcionalitását is visszaállítja.
Égbe révedő informatikusok: az Időkép-sztori Mi fán terem az előrejelzés, hogy milyen infrastruktúra dolgozik az Időkép alatt, mi várható a deep learning modellek térnyerésével?
Az Apple-t a hiba felfedezői még október végén értesítették a biztonsági résről, így annak orvoslását már az iOS 11.2-ben, illetve a nemrég megjelent watchOS 4.2-ben megkezdte a cég, teljesen azonban a legutóbbi rendszerverziók kiadásáig nem sikerült azt befejeznie, ezért az időleges szerveroldali korlátozások. A felhasználóknak mindenesetre nincs teendőjük az ügyben, a cég nyilatkozata szerint a problémát már megoldotta, a jövő heti frissítésig ugyanakkor az ideiglenes javítás lekapcsolja a távoli hozzáférés lehetőségét a HomeKitre csatlakozott eszközökhöz azon külső felhasználók számára, akikkel az adott rendszer gazdája megosztotta azt.
Hogy a cupertinói óriás azonnal kezelte a problémát, kifejezetten példás lépés a cég részéről, az eset azonban ismét rávilágít, hogy nem csak a notebookok és okostelefonok, de a háztartásokban egyre szaporodó okoseszközök (illetve az azokat terelgető keretrendszerek) esetében is kiemelten fontos (lenne) az online biztonság. A területnek pedig talán a legérzékenyebb szeletét épp az okoszárak jelentik, amelyeknél az online és fizikai biztonság kérdése találkozik. Az elmúlt egy-két évben többször is láthattunk sebezhetőségeket felbukkanni valamilyen online kapcsolattal rendelkező zárrendszeren, elég a Samsung IoT platformja, a SmartThings tavalyi biztonsági fiaskójára gondolni, amely az online zárak kinyitását is lehetővé tette, vagy épp a LockState idén nyár végi gikszerére - szerencsére utóbbinál a zárak egyszerűen "elbutultak".
Ugyanakkor gyors válaszlépés ide vagy oda, az Apple-nek így is kifejezetten fájdalmas a hiba, főleg annak fényében, hogy alig néhány napja derült fény egy a cég asztali operációs rendszerét sújtó, komoly sérülékenységre és egy iOS-bugra is. Előbbit kihasználva a MacOS-ben jelszó megadása nélkül lehetett root jogosultságot szerezni, míg az iOS-es hiba miatt folyamatosan újraindultak az érintett készülékek. A cégnek ezeknél sem tartott sokáig kiadni a javítást, a gyors egymásutánban jelentkező problémák azonban így is megingathatják a felhasználók bizalmát.