Apple está poniendo sus servicios en forma con una serie de actualizaciones de fin de año -incluyendo algunas de emergencia – que solucionan todo tipo de problemas que podrían poner en riesgo a sus millones de usuarios. Uno de sus últimos parches soluciona un problema en una vulnerabilidad de HomeKit que entregaba a los atacantes acceso a la casa de las víctimas mediante los electrodomésticos y dispositivos domésticos inteligentes conectados a iCloud.
No se ha mencionado quién descubrió la falla, pero los informes indican que Apple está al tanto de la vulnerabilidad de día cero desde octubre, aunque recién se hizo pública cuando 9to5Mac publicó un artículo hace unos días exponiendo la situación. Apple había solucionado parte del problema en la última actualización, pero quedaron asuntos sin resolver que está abordando ahora.
No se han dado detalles sobre la forma de explotar la vulnerabilidad por obvias razones de seguridad, pero se la ha descrito como “difícil de reproducir”. El atacante necesita tener acceso a un iPhone o iPad con iOS 11.2, la última versión del sistema operativo, que esté conectado a la cuenta de iCloud de su víctima. Aunque las últimas versiones de los sistemas suelen ser las más seguras, parece que un error de programación abrió una brecha de seguridad en este caso, haciendo que la función de compartir cuentas de HomeKit se vuelva un peligro para sus usuarios. “El parche desactiva de forma temporal el acceso remoto a las cuentas compartidas, pero se restablecerá este acceso en una actualización de software a principios de la próxima semana”, explicó Apple.
Parece que la falla permitía al atacante establecer una cuenta de HomeKit compartida desde el iPhone o iPad sin iniciar sesión. Al hacerlo, tenía control total sobre todos los dispositivos HomeKit que estaban conectados a su cuenta de iCloud.
Esto significa que, al explotar esta vulnerabilidad, el atacante podría realizar un sinfín de ataques virtuales, incluyendo algunos que abrían posibilidades de ataques físicos a los usuarios afectados. Los atacantes podían conectarse a las cámaras web y CCTV para espiar a los usuarios, obtener información sobre sus horarios y modos de vida para planificar un robo, abrir y cerrar las puertas inteligentes según su conveniencia, etc.
A medida de que el Internet de las Cosas avanza y es más frecuente que nuestro mundo físico se interconecte con el virtual y hasta dependa de él, la gama de posibilidades de ataque para los cibercriminales se expande. Y a ello se suma la apariencia inofensiva de estos dispositivos, la falta de leyes que regulen los estándares de seguridad en su fabricación y el poco conocimiento de los usuarios al momento seleccionarlos, mantenerlos, protegerlos y protegerse.
Fuentes
Apple fixes HomeKit bug that gave attackers control over smart home gadgets The Verge
Apple patches HomeKit vulnerability that could have given burglars access to smart locks Silicon Angle
Apple parcha una vulnerabilidad en HomeKit que invita a los delincuentes a invadir el hogar de sus usuarios