一直以來,Apple 都在強調自己的 HomeKit 平台有多麼多麼安全。想入坑的消費者不得不為此花更多的錢,去買那些內含 Apple 認證組件的產品,才能享受到 Apple 口中高品質的安全物聯生活。但最近發生的一件事,卻讓人懷疑起他們的承諾含金量到底有多少。之前在 iOS 11.2.1 中補上的 HomeKit 大漏洞,原來早在十月時便已被一位名叫「Khaos Tian」的開發者發現。但在他早早將情況回報給 Apple 的前提下,相關人員卻直到一週多前才剛剛把問題解決。

根據 Khaos Tian 之前在 Medium 上發佈的內容,這個漏洞會導致 HomeKit 將相關物聯裝置的數據和加密金鑰,以非安全進程的形式發送到運行 watchOS 4.0 / 4.1 的 Apple Watch 之上。這樣一來,後者的使用人便可設法侵入門鎖、保安相機、燈具等智慧產品,獲得控制權以達到不軌的企圖。按照 Khaos Tian 的說法,在發現漏洞後他第一時間將問題報告給了 Apple 的產品安全團隊,但沒想到的是後來情況非但沒有好轉還變得更糟。漏洞的適用範圍不知怎麼就從 Apple Watch 擴大到了 Apple 的行動平台,未認證的 iOS 11.2 裝置居然也能收到那些敏感數據了。

Khaos Tian 見狀便繼續試圖提醒 Apple,但他在十一月中發出的多封電郵最終通通都石沉大海。無奈之下,其只有透過 9to5Mac 聯絡上了 Apple 的 PR 團隊,而後者用 Khaos Tian 的原話來說「反應遠比安全團隊要快得多」。於是最終在 12 月 13 日,Khaos Tian 發現漏洞整整六週以後,Apple 才總算在新版韌體中進行了修復。

「如果有人自誇他們的產品足夠安全的時候,你最好多留個心眼保持警惕。」Khaos Tian 在 Medium 的文章中這麼寫道。回過頭來看看幾大平台軟體接連不斷的 bug漏洞,年關將至,Apple 真的應該好好反省一下了。