Vulnerabilidade no HomeKit, já corrigida pela Apple, permitia acesso remoto a trancas e portões inteligentes

O 9to5Mac tomou ciência de uma vulnerabilidade crítica (zero-day) que afeta(va) o protocolo HomeKit, do iOS. De acordo com o site, tal brecha foi demonstrada e comprovada que, de fato, permita o controle remoto de acessórios inteligentes como trancas, portões (de garagem), luzes, termostatos, tomadas, etc.

Preocupante? Muito! Mas, segundo o site, uma correção parcial já foi implementada pela Apple do lado do servidor, ou seja, sem a necessidade de liberar uma nova atualização do iOS para isso. Entretanto, para remediar a situação, foi preciso limitar uma funcionalidade a qual será restabelecida numa futura versão do iOS, que — dizem eles — chegará já na semana que vem.

HomeKit

O 9to5Mac não deu muitos detalhes sobre vulnerabilidade por questões de segurança, mas afirmou que não era algo fácil de ser reproduzido. É bom deixar claro que o problema não afetava um acessório ou uma marca especifica, e sim o protocolo HomeKit como um todo — que se conecta a tais dispositivos.

A Apple foi informada sobre a brecha em outubro, e alguns (não todos os) problemas foram resolvidos nas versões 11.2 do iOS e 4.2 do watchOS; outros, como dito acima, foram corrigidos no lado do servidor.

Eis a declaração da empresa sobre o caso:

O problema que afeta usuários do HomeKit executando o iOS 11.2 foi corrigido. A correção temporariamente desativa o acesso remoto a usuários compartilhados, que serão restaurados em uma atualização de software no início da próxima semana.

HomeKit

O caso, obviamente, reaquece uma discussão não tão nova assim: o quão seguro é utilizar dispositivos e acessórios altamente conectados? O estrago que uma vulnerabilidade como essa pode causar é enorme, dando acesso basicamente à porta de casa/garagem da casa de alguns usuários, por exemplo. A verdade, como o próprio 9to5Mac colocou muito bem, é que brechas sempre existirão em softwares. Por outro lado, não é incomum vermos também hardwares com problemas (muitas vezes casos que exigem recall do produto). A parte boa de uma vulnerabilidade no software é que empresas podem corrigir o problema numa simples atualização de software, algo muito mais prático e rápido se comparado a um recall.

No fundo, a decisão de embarcar em novas tecnologias como o protocolo HomeKit e seus diversos acessórios é algo bem pessoal. O importante é saber que, de nenhuma forma (seja software ou hardware), você estará 100% seguro.

Posts relacionados

Comentários

8 comments

  1. Não existe sistema computacional seguro 100% claro, mas sempre percebo que a Apple (não puxando sardinha), trabalha sempre para oferecer aos seus clientes o máximo de segurança possível, tem que fazer isso mesmo, até mesmo pelo altíssimo preço cobrado nos seus produtos.

  2. Concordo. E a velocidade oferecida na disponibilidade de uma correção costuma ser bem satisfatório em se tratando de Apple.

  3. Seu sistema super seguro é aberto por qualquer chaveiro com o mínimo de experiência, já um sistema controlado por software vai exigir que alguém tenha que ter realmente um bom conhecimento para entrar sua casa (eu voto no software que o ladrão de galinha não sabe usar).

  4. O chaveiro precisa ir até sua porta para tentar abri-lá. Já um hacker, pode acessar sua casa inteligente de qualquer lugar. Meu voto ainda fica com as chaves, trancas e cadeados.

  5. Existem mais chaveiros do que engenheiros de segurança computacional. Proporcionalmente, ainda é mais seguro um bom sistema digital.

    Sem falar que um “cracker” distante teria que destrancar e ainda ir até o local (ou indicar alguém), o chaveiro já esta no local, sem falar (2…rs) que destravar a tranca não significa inutilizar todo o sistema que compõe como câmeras, por exemplo.

  6. Isso que me deixa chateado com o robozinho verde, mesmo que a Google corrigisse todas as falhas imediatamente, já imaginou a peregrinação até essa atualização chegar a fabricante, ela adaptar para seus 375 modelos de smartphones e liberar para os usuários, uso iPhone desde o 3GS e sempre recebi as atualizações quase de imediato, já os andróides que tive pelo trabalho (que eram intermediários) nunca viram uma mudança de versão, no máximo algo de X.X.1 para X.X.2.

  7. Se o hacker mal intencionado tem acesso a fechadura, bem provável que ele tenha acesso a outros smart devices conectados a sua casa. Ele poderia facilmente “sequestrar” sua casa e pedir um resgate, por exemplo.

Deixe uma resposta