Apple alle prese con una falla “zero day” in HomeKit

homekit

Individuata una vulnerabilità in HomeKit dopo l’aggiornamento a iOS 11.2. Apple al momento ha risolto il problema lato-server disabilitando alcune funzionalità che saranno ripristinate con un aggiornamento per iOS 11.2 che verrà rilasciato nelle prossime settimane

[banner]…[/banner]

in iOS 11.2 è stata individuata una vulnerabilità in HomeKit, il framework di Apple che consente di gestire gli apparecchi casalinghi usando iPhone e iPad. Lo riferisce il sito 9to5Mac spiegando che alla redazione è stata mostrata la possibilità di ottenere accesso senza autorizzazione ad accessori quali serrature smart e accessori per l’apertura delle porte dei garage. Apple avrebbe risolto il problema con un aggiornamento lato-server che chiude remotamente ila bug, limitando al momento alcune funzionalità che saranno ripristinate con un aggiornamento per iOS 11.2 che verrà rilasciato nelle prossime settimane.

Dettagli sulla vulnerabilità non sono al momento noti. A quanto sembra di capire si tratta di una metodologia di attacco che non è semplice da riprodurre ma che permetterebbe di ottenere accesso non autorizzato ad accessori HomeKit quali luci smart, termostati e prese varie. Il problema non riguarda i dispositivi veri e propri ma il framework HomeKit sfruttato per la connessione dei vari dispositivi (ed è dunque solo un problema software).

homekit accessori pagina

La vulnerabilità era sfruttabile con iPhone o iPad con OS 11.2 connessi agli account HomeKit legati ad iCloud; sulle precedenti versioni di iOS, la vulnerabilità in questione non è presente.  Gli utenti non devono preoccuparsi perché, come già spiegato, Apple ha già disattivato le componenti che rendevano potenzialmente HomeKit vulnerabile e ha fatto sapere che una soluzione definitiva arriverà con un aggiornamento per iOS.

Apple era stata avvertita del problema a fine ottobre; alcune contromisure sono state integrate nelle ultime build di iOS 11.2 e watchOS 4.2 ma il fix definitivo sarà integrato con i prossimi aggiornamenti.

Aggiornamento: la falla è stata risolta con l’aggiornamento a iOS 11.2.1.