De vinder van de bug in HomeKit die het mogelijk maakte om apparaten op afstand over te nemen, zegt dat een update van Apple na de melding van de bug het probleem alleen verergerde. Apple bracht onlangs een fix uit.
Waar een kwaadwillende onder iOS 11.1 en watchOS 4.1 maar moest hopen dat het slachtoffer een Apple Watch in bezit had, bleek dat onder iOS 11.2 niet langer nodig. Na die update was een iPhone namelijk voldoende om de unieke codes in handen te krijgen om zijn of haar HomeKit-apparaten te besturen, zo schrijft Khaos Tian op Medium.
Onder iOS 11.2 checkte de 'home manager' niet of de zender van een bericht de eigenaar van de HomeKit-apparaten is, maar stuurde gelijk de codes om de apparaten te bedienen naar een kwaadwillende toe.
Voordat Apple vorige week een fix uitrolde, schakelde het de functie om apparaten op afstand te bedienen uit om misbruik van het lek te voorkomen. Tian schrijft verder dat hij het lek eind oktober meldde. Toen er maar geen fix kwam, heeft hij het in samenwerking met 9to5Mac naar buiten gebracht, waarna Apple snel in actie kwam en binnen twee dagen de functie uitschakelde.