9to5Macは、iOS 11.2の最新バージョンに存在するHomeKitの脆弱性を発見しました。 この脆弱性により、スマートロックやガレージドアオープナーなどのアクセサリが不正に制御される可能性があります。Apple はサーバー側の修正プログラムを導入し、一部の機能を制限しつつ不正アクセスを防止しました。来週リリースされるiOS 11.2のアップデートで、これらの機能が完全に回復される予定です。

この脆弱性については詳細は説明しませんが、再現は困難で、スマートライト、サーモスタット、プラグなどの HomeKit 接続アクセサリを不正に制御できる可能性があります。

修正前のこの脆弱性の最も深刻な影響は、スマートロックと接続されたガレージドアオープナーの不正なリモートコントロールであり、前者は 9to5Macに実証されました。

問題はスマートホーム製品自体ではなく、さまざまな企業の製品を接続する HomeKit フレームワーク自体にありました。

ロールアウト中の修正はサーバー側で行われるため、ユーザーは本日中にこの問題を解決するための措置を講じる必要はありません。来週予定されているiOSの今後のアップデートで、不具合のある機能は修正される予定です。 

この脆弱性を利用するには、Appleのモバイルオペレーティングシステムの最新バージョンであるiOS 11.2を搭載した少なくとも1台のiPhoneまたはiPadがHomeKitユーザーのiCloudアカウントに接続されていることが必要であり、それ以前のバージョンのiOSは影響を受けなかった。

すごいですね。@apollozac による素晴らしいスクープ、そして公開の48時間前からAppleと協力して修正に取り組んだのも素晴らしいです。https://t.co/Kgm16C6cny

— セス・ウェイントラブ (@llsethj) 2017年12月7日

Appleは10月下旬にこの脆弱性と関連する脆弱性について報告を受けており、今週リリースされたiOS 11.2およびwatchOS 4.2で一部の問題が修正されたと認識しています。このカテゴリの他の問題はAppleによってサーバー側で修正されたため、エンドユーザーによる対応は必要ありませんでした。

Appleはこの件に関して9to5Mac に次のような声明を出した 。

iOS 11.2 を実行している HomeKit ユーザーに影響していた問題は修正されました。この修正により、共有ユーザーへのリモートアクセスが一時的に無効になりますが、来週初めのソフトウェアアップデートで復旧する予定です。

この脆弱性が私たちに報告されたことで、本来よりも早く解決策が準備できたと考えています。読者の皆様には、この脆弱性の存在を知っていただく権利があります。また、この脆弱性の深刻さから、  HomeKitやスマートホーム製品に関する記事を今後も掲載していくためには、 9to5Mac は出版物として、私たちが知っている情報を読者の皆様と共有する責任を負っています。

この脆弱性が拡散されたということは、今後HomeKitやスマートホーム製品を信頼すべきではないということでしょうか？ソフトウェアのバグは必ず発生します。これまでも常に発生しており、ソフトウェア開発手法に画期的な進歩がない限り、今後も発生し続ける可能性が高いでしょう。物理的なハードウェアにも同じことが言えます。ハードウェアにも欠陥があり、リコールが必要になる場合があります。違いは、ソフトウェアは完全なリコールを必要とせず、無線で修正できる点です。

しかし、HomeKitやスマートホーム製品をセキュリティ対策として信頼するかどうかは、これまでと同様に、今後も個人の判断に委ねられるでしょう。個人的には、この脆弱性が修正されれば、HomeKitセキュリティソリューションを安心して信頼できるようになると考えています。ただし、万全を期すために、昔ながらの鍵や錠前を使ったり、防犯カメラを設置したりすることも可能です。

また、先週 Mac に影響を与えた根本的なセキュリティ問題の場合と同様に、この脆弱性が出荷され、ユーザーが気付かないまま数週間も問題が放置された開発プロセスが監査され、可能であれば変更が加えられていることも知りたいと思います。

結局のところ、HomeKit に接続されたロックやガレージ ドア オープナーが自宅を安全に保護できないことがわかっている場合、既知の脆弱性に関連するリスクをテストする機会を顧客に与えるべきではありません。

この特定の脆弱性を公開することで、品質保証とセキュリティ監査プロセスの改善に有意義な影響を与え、HomeKit が将来的により優れたソリューションとなり、最も安全なスマート ホーム フレームワークとしての評判に応えられるようになることを願っています。

havebin.com を Google ニュース フィードに追加します。 

FTC: 収益を生み出す自動アフィリエイトリンクを使用しています。詳細はこちら。