原來之前那個 HomeKit 漏洞 Apple 忽視了足足六週之久...

一直以來，Apple 都在強調自己的 HomeKit 平台有多麼多麼安全。想入坑的消費者不得不為此花更多的錢，去買那些內含 Apple 認證組件的產品，才能享受到 Apple 口中高品質的安全物聯生活。但最近發生的一件事，卻讓人懷疑起他們的承諾含金量到底有多少。之前在 iOS 11.2.1 中補上的 HomeKit 大漏洞，原來早在十月時便已被一位名叫「Khaos Tian」的開發者發現。但在他早早將情況回報給 Apple 的前提下，相關人員卻直到一週多前才剛剛把問題解決。

根據 Khaos Tian 之前在 Medium 上發佈的內容，這個漏洞會導致 HomeKit 將相關物聯裝置的數據和加密金鑰，以非安全進程的形式發送到運行 watchOS 4.0 / 4.1 的 Apple Watch 之上。這樣一來，後者的使用人便可設法侵入門鎖、保安相機、燈具等智慧產品，獲得控制權以達到不軌的企圖。按照 Khaos Tian 的說法，在發現漏洞後他第一時間將問題報告給了 Apple 的產品安全團隊，但沒想到的是後來情況非但沒有好轉還變得更糟。漏洞的適用範圍不知怎麼就從 Apple Watch 擴大到了 Apple 的行動平台，未認證的 iOS 11.2 裝置居然也能收到那些敏感數據了。

Khaos Tian 見狀便繼續試圖提醒 Apple，但他在十一月中發出的多封電郵最終通通都石沉大海。無奈之下，其只有透過 9to5Mac 聯絡上了 Apple 的 PR 團隊，而後者用 Khaos Tian 的原話來說「反應遠比安全團隊要快得多」。於是最終在 12 月 13 日，Khaos Tian 發現漏洞整整六週以後，Apple 才總算在新版韌體中進行了修復。

「如果有人自誇他們的產品足夠安全的時候，你最好多留個心眼保持警惕。」Khaos Tian 在 Medium 的文章中這麼寫道。回過頭來看看幾大平台軟體接連不斷的 bug、漏洞，年關將至，Apple 真的應該好好反省一下了。

來源: Medium

經由: Engadget, Venture Beat