Desarrollador que descubrió el error de HomeKit Detalles Su funcionamiento

El 28 de octubre, el desarrollador Khaos Tian descubrió múltiples errores con el HomeKit de Apple, que permitía el acceso no autorizado a cualquier persona conectada con el servicio. El desarrollador afirmó que, a pesar de que sus preocupaciones fueron conocidas por Apple el mismo día, Apple no solucionó el error durante todo el mes de noviembre, y que la subsiguiente actualización de iOS solo empeoró las cosas.

En una publicación detallada en el medio, Tian detalla cómo el error permite el acceso no autorizado a los identificadores únicos de un dispositivo HomeKit a prácticamente cualquier persona, permitiendo efectivamente que los atacantes entren en las defensas de un dispositivo sin hacer mucho.

El segundo error, y quizás el más preocupante, permitió a cualquier persona enviar un comando al HomeKit, que HomeKit simplemente enviaría sin confirmar las credenciales del usuario. Dado el hecho de que HomeKit incluye algunos accesorios sensibles de HomeKit como cerraduras inteligentes y otros periféricos, esto fue alarmante para todos los usuarios del ecosistema HomeKit de Apple.

Es extremadamente preocupante que Apple tenga pleno conocimiento del problema y no haya hecho mucho durante más de un mes. Afortunadamente, estas vulnerabilidades se arreglaron para siempre. Apple rectificó el problema parcialmente con un parche del lado del servidor y lo arregló por completo en iOS 11.2.1 .

Afortunadamente, Tian no dio detalles del error hasta que Apple lo arregló oficialmente. Esto significaba que ningún usuario o desarrollador que excluyera a Tian tenía conocimiento de esta vulnerabilidad. Se sabe que el equipo de seguridad de Apple le pidió al desarrollador que elimine algunos puntos de su publicación original que detalla el error, que se cree que es una medida de seguridad estándar.