蘋果HomeKit漏洞早在十月被發現，卻花了6週時間才修復

一直強調安全、隱私保護的蘋果，在前段時間被曝出其iOS 11系統存在HomeKit的安全漏洞，可以被不法駭客進行攻擊從而控制用戶的智慧家居設備，比如直接打開智慧門鎖，隨後蘋果通過伺服器和系統更新修復了這個問題。這樣的事情發生在蘋果身上是難以置信的，近日這個漏洞的發現者，一為名叫Khaos Tian的開發者，特別發文講述這起事件的來龍去脈。

Khaos Tian在Medium的專欄中發文表示，蘋果的HomeKit主要由iOS上控制軟體和一個通訊協議組成，這次安全漏洞主要是出現在控制軟體中。iOS和watchOS上有兩個bug會允許非授權用戶發現HomeKit的唯一辨識碼，用於控制智慧家居設備，HomeKit在處理請求時並不會檢查發出遙控訊息的用戶，這使得任何人都可以通過遙控來獲得對智慧設備的使用權。

這位開發者特別提到，他在10月份發現這個問題的第二天（10月28日），便報告給了蘋果的產品安全團隊，蘋果有作了回复，也確實在後面數週對該問題進行了跟踪排查，期間Tian多次電郵希望協助蘋果解決問題，但都沒有收到回复，Tian便以為蘋果已經可以修復漏洞。意外的是，蘋果反而在隨後的iOS 11.2系統更新中弄出了更多漏洞，使得HomeKit更容易受到攻擊和操縱。

因此在對蘋果這種笨拙、散漫和缺乏溝通的行為感到不滿後，Tian選擇把事情爆料給9to5Mac，讓大家知道了有這件危險的事情。這樣迫於公眾壓力下，蘋果的軟體工程師在48小時內便作了臨時的修復，主要是通過在伺服器端關閉了HomeKit允許用戶發送共享控制的功能。

即便這樣，蘋果也是在Tian報告該漏洞後6個星期，才作出了有效的反應，而真正的bug修復則是在本月14日的iOS 11.2.1系統更新上。這樣的安全漏洞修復工作效率，顯然是讓人對蘋果感到失望的，特別這是一家近萬億美元市值、常常講安全性的科技公司，實在不該有。

消息來源