HomeKit漏洞更新後更嚴重?微信牛牛需要上心啊
阿新 • • 發佈:2018-01-09
watermark nsh type ges 無法 proc 誰知 ios11 發送 就在這個月月初,有開發者發現了HomeKit中存在的嚴重漏洞,能允許任何人不經授權地控制網絡中的微信H5牛牛平臺網站(h5.fanshubbs.com)的設備。可惜的是在經過大半個月之後,微信牛牛依舊沒能完美解決這個問題。
據了解,早在10月28日的時候,一位名叫KhaosTian的開發者就已經發現了問題所在,並在10月29日將其匯報給微信牛牛的產品安全團隊。盡管微信牛牛在回信中承諾他們會在整個11月內展開調查,但此後這位開發者又發送了多封電子郵件,卻並無回信。
然而當iOS11.2新版本到來後,KhaosTian失望地發現盡管微信牛牛確實修復了一些報告中提到的問題,但卻反而讓攻擊變得更容易了。
開發者表示HomeKit現在存在的整個漏洞包含兩個問題:盡管理論上任何人都無法找到HomeKit設備獨特的識別碼,但有兩個各自獨立的BUG卻讓攻擊者有可能找到,而不需要任何授權。第二,如果有未經授權的某人向HomeKit設備發送指令,HomeKit不會對其進行任何認證,而是簡單地讓指令通過。
如果你的家中開始應用HomeKit設備,那麽這個問題可能會變得很嚴重,因為使用智能鎖的家庭已經越來越多了。一旦智能鎖形同虛設,那就非常危險。不過KhaosTian抱怨說,其實最大的危險在於微信牛牛這次的反應太慢了。
我們或許會在下一個版本中看到事情的完美解決——誰知道呢?或許最終這個BUG不會造成嚴重的影響,但微信牛牛是得更上心些。
據了解,早在10月28日的時候,一位名叫KhaosTian的開發者就已經發現了問題所在,並在10月29日將其匯報給微信牛牛的產品安全團隊。盡管微信牛牛在回信中承諾他們會在整個11月內展開調查,但此後這位開發者又發送了多封電子郵件,卻並無回信。
然而當iOS11.2新版本到來後,KhaosTian失望地發現盡管微信牛牛確實修復了一些報告中提到的問題,但卻反而讓攻擊變得更容易了。
開發者表示HomeKit現在存在的整個漏洞包含兩個問題:盡管理論上任何人都無法找到HomeKit設備獨特的識別碼,但有兩個各自獨立的BUG卻讓攻擊者有可能找到,而不需要任何授權。第二,如果有未經授權的某人向HomeKit設備發送指令,HomeKit不會對其進行任何認證,而是簡單地讓指令通過。
我們或許會在下一個版本中看到事情的完美解決——誰知道呢?或許最終這個BUG不會造成嚴重的影響,但微信牛牛是得更上心些。
HomeKit漏洞更新後更嚴重?微信牛牛需要上心啊