Последние недели для компании Apple выдались весьма тяжёлыми. Буквально что ни день, то открытие новых и новых ошибок в ПО в iOS, macOS, а теперь — ещё и в системе управления смарт-домов HomeKit.
Последнее касается довольно неприятной уязвимости, благодаря которой взломщик, имея удалённый доступ к мобильному устройству жертвы, мог создать собственную учётную запись для iCloud и через неё взламывать систему управления домом.
Сама компания Apple очень быстро замяла это дело, и сейчас уже доподлинно не известны ни какие именно возможности открывались для недоброжелателя, ни сама схема механизма взлома.
По имеющимся данным, взломщик мог получить контроль над всеми устройствами, управляющимися системой HomeKit. Также была вероятность возможности открывать входную дверь и включения веб-камеры жертвы, если таковые имелись, получая, таким образом, почти полный контроль над происходящим внутри дома.
Данная проблема касалась исключительно устройств, использующих операционную систему iOS 11.2, и возникала на этапе взаимодействия системы между сервером iCloud, и последующей раздачей команд со стороны iOS 11.2 и их исполнения системой HomeKit.
Самое забавное во всём этом — о данной ошибке работники Apple знали ещё в конце октября и даже выпустили очередное обновление по этому поводу, которое было направлено на общие улучшения в системе HomeKit. Но, как выяснилось теперь, предыдущее обновление решило почти все проблемы, кроме главной, которая всплыла теперь.
Согласно заявлению представителей Apple, конкретно эта уязвимость открывалась именно в момент обращения к серверу, и формально не является ошибкой в протоколе HomeKit, а в работе облачных серверов iCloud, и проблему пришлось решать именно с последними.
Обновление выпустили незамедлительно и, как побочный эффект устранения уязвимости, теперь всплыла ещё одна проблема: удалённый доступ для общей пользовательской сети HomeKit заблокирован, так что работать с ней может только пользователь с правами администратора — это временное решение до выпуска полноценного обновления, которое выйдет в течение нескольких недель.