最新軟體應用文章

Image credit: Engadget

原来之前那个 HomeKit 漏洞苹果忽视了足足六周之久...

这段时间里门锁、安全摄像头、智能灯具几乎等于向心怀不轨者门户大开。

Sanji Feng
2017 年 12 月 22 日, 早上 09:00
Engadget

一直以来,苹果都在强调自己的 HomeKit 平台有多么多么安全。想入坑的消费者不得不为此花更多的钱,去买那些内含苹果认证零件的产品,才能享受到苹果口中高品质的安全物联生活。但最近发生的一件事,却让人怀疑起他们的承诺含金量到底有多少。之前在 iOS 11.2.1 中补上的 HomeKit 大漏洞,原来早在十月时便已被一位名叫「Khaos Tian」的开发者发现。但在他早早将情况回报给苹果的前提下,相关人员却直到一周多前才刚刚把问题解决。

根据 Khaos Tian 之前在 Medium 上发布的内容,这个漏洞会导致 HomeKit 将相关物联设备的数据和加密金钥,以非安全进程的形式发送到运行 watchOS 4.0 / 4.1 的 Apple Watch 之上。这样一来,后者的使用人便可设法侵入门锁、摄像头、灯具等智能产品,获得控制权以达到不轨的企图。按照 Khaos Tian 的说法,在发现漏洞后他第一时间将问题报告给了苹果的产品安全团队,但没想到的是后来情况非但没有好转还变得更糟。漏洞的适用范围不知怎么就从 Apple Watch 扩大到了苹果的移动平台,未认证的 iOS 11.2 设备居然也能收到那些敏感数据了。

Khaos Tian 见状便继续试图提醒苹果,但他在十一月中发出的多封电邮最终通通都石沉大海。无奈之下,其只有通过 9to5Mac 联络上了苹果的公关团队,而后者用 Khaos Tian 的原话来说「反应远比安全团队要快得多」。于是最终在 12 月 13 日,Khaos Tian 发现漏洞整整六周以后,苹果才总算在新版固件中进行了修复。

「如果有人自夸他们的产品足够安全的时候,你最好多留个心眼保持警惕。」Khaos Tian 在 Medium 的文章中这么写道。回过头来看看几大平台软件接连不断的 bug漏洞,年关将至,苹果真的应该好好反省一下了。