一直強調安全、隱私保護的蘋果,在前段時間被曝出其iOS 11系統存在HomeKit的安全漏洞,可以被不法駭客進行攻擊從而控制用戶的智慧家居設備,比如直接打開智慧門鎖,隨後蘋果通過伺服器和系統更新修復了這個問題。這樣的事情發生在蘋果身上是難以置信的,近日這個漏洞的發現者,一為名叫Khaos Tian的開發者,特別發文講述這起事件的來龍去脈。
Khaos Tian在Medium的專欄中發文表示,蘋果的HomeKit主要由iOS上控制軟體和一個通訊協議組成,這次安全漏洞主要是出現在控制軟體中。iOS和watchOS上有兩個bug會允許非授權用戶發現HomeKit的唯一辨識碼,用於控制智慧家居設備,HomeKit在處理請求時並不會檢查發出遙控訊息的用戶,這使得任何人都可以通過遙控來獲得對智慧設備的使用權。
這位開發者特別提到,他在10月份發現這個問題的第二天(10月28日),便報告給了蘋果的產品安全團隊,蘋果有作了回复,也確實在後面數週對該問題進行了跟踪排查,期間Tian多次電郵希望協助蘋果解決問題,但都沒有收到回复,Tian便以為蘋果已經可以修復漏洞。意外的是,蘋果反而在隨後的iOS 11.2系統更新中弄出了更多漏洞,使得HomeKit更容易受到攻擊和操縱。
因此在對蘋果這種笨拙、散漫和缺乏溝通的行為感到不滿後,Tian選擇把事情爆料給9to5Mac,讓大家知道了有這件危險的事情。這樣迫於公眾壓力下,蘋果的軟體工程師在48小時內便作了臨時的修復,主要是通過在伺服器端關閉了HomeKit允許用戶發送共享控制的功能。
即便這樣,蘋果也是在Tian報告該漏洞後6個星期,才作出了有效的反應,而真正的bug修復則是在本月14日的iOS 11.2.1系統更新上。這樣的安全漏洞修復工作效率,顯然是讓人對蘋果感到失望的,特別這是一家近萬億美元市值、常常講安全性的科技公司,實在不該有。
消息來源 |
收藏
分享
分享
提升卡
置頂卡
沉默卡
喧囂卡
變色卡
顯身卡
