:

Szerző: Hlács Ferenc

2017. december 8. 13:30

Okoszárakat is érintett a HomeKit sebezhetőség

Az Apple első körben szerveroldalon, néhány funkció lekapcsolásával orvosolta a hibát, de hamarosan érkezik a teljes értékű javítás. A felhasználóknak nincs teendőjük az ügyben.

Súlyos, zero-day HomeKit sebezhetőséget foltozott az Apple, amelyen keresztül támadóknak egy sor, a rendszerhez csatlakoztatott okoseszközhöz lehetőségük nyílt hozzáférést szerezni - beleértve több okoszárat is.

A szóban forgó biztonsági rés a keretrendszer egy megbízhatósági hiba miatt idő előtt kiadott iOS 11.2-es verzióját érintette, arról először a 9to5mac számolt be. Az oldal nem közli a hiba pontos műszaki részleteit, noha annyit elárul, azt "nehéz volt reprodukálni": ahhoz legalább egy iOS 11.2-t futtató iPhone-ra vagy iPadre van szükség, amely az adott HomeKit felhasználó iCloud fiókjához csatlakozott. A korábbi iOS verziók a lap forrásai szerint nem érintettek. A sebezhetőséget kihasználva illetéktelenül átvehető az irányítás a HomeKithez csatlakoztatott készülékek fölött, beleértve az okosizzókat, termosztátokat, fali aljzatokat és zárakat is. Értelemszerűen utóbbiak sebezhetősége jelentette a legnagyobb biztonsági kockázatot a felhasználók számára.

Az Apple szerencsére gyorsan lépett az ügyben, és szerveroldalon javította a biztonsági rést, így az már nem jelent veszélyt a keretrendszer felhasználóira. A gyors ütemben kiadott patch a HomeKit bizonyos funkcióit korlátozza, ugyanakkor ez csak ideiglenes javítást jelent, a cég a jövő héten kiadott iOS frissítésében a hiba befoltozása mellett a HomeKit teljes funkcionalitását is visszaállítja.

aaplhmkit

Ünnepi mix a bértranszparenciától a kódoló vezetőkig

Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Ünnepi mix a bértranszparenciától a kódoló vezetőkig Négy IT karrierrel kapcsolatos, érdekes témát csomagoltunk a karácsonyfa alá.

Az Apple-t a hiba felfedezői még október végén értesítették a biztonsági résről, így annak orvoslását már az iOS 11.2-ben, illetve a nemrég megjelent watchOS 4.2-ben megkezdte a cég, teljesen azonban a legutóbbi rendszerverziók kiadásáig nem sikerült azt befejeznie, ezért az időleges szerveroldali korlátozások. A felhasználóknak mindenesetre nincs teendőjük az ügyben, a cég nyilatkozata szerint a problémát már megoldotta, a jövő heti frissítésig ugyanakkor az ideiglenes javítás lekapcsolja a távoli hozzáférés lehetőségét a HomeKitre csatlakozott eszközökhöz azon külső felhasználók számára, akikkel az adott rendszer gazdája megosztotta azt.

Hogy a cupertinói óriás azonnal kezelte a problémát, kifejezetten példás lépés a cég részéről, az eset azonban ismét rávilágít, hogy nem csak a notebookok és okostelefonok, de a háztartásokban egyre szaporodó okoseszközök (illetve az azokat terelgető keretrendszerek) esetében is kiemelten fontos (lenne) az online biztonság. A területnek pedig talán a legérzékenyebb szeletét épp az okoszárak jelentik, amelyeknél az online és fizikai biztonság kérdése találkozik. Az elmúlt egy-két évben többször is láthattunk sebezhetőségeket felbukkanni valamilyen online kapcsolattal rendelkező zárrendszeren, elég a Samsung IoT platformja, a SmartThings tavalyi biztonsági fiaskójára gondolni, amely az online zárak kinyitását is lehetővé tette, vagy épp a LockState idén nyár végi gikszerére - szerencsére utóbbinál a zárak egyszerűen "elbutultak".

Ugyanakkor gyors válaszlépés ide vagy oda, az Apple-nek így is kifejezetten fájdalmas a hiba, főleg annak fényében, hogy alig néhány napja derült fény egy a cég asztali operációs rendszerét sújtó, komoly sérülékenységre és egy iOS-bugra is. Előbbit kihasználva a MacOS-ben jelszó megadása nélkül lehetett root jogosultságot szerezni, míg az iOS-es hiba miatt folyamatosan újraindultak az érintett készülékek. A cégnek ezeknél sem tartott sokáig kiadni a javítást, a gyors egymásutánban jelentkező problémák azonban így is megingathatják a felhasználók bizalmát.

a címlapról