Sicherheitslücke kann iPhone & iPad lahmlegen
Sicherheitslücke bei Apple HomeKit
Fotos: Apple/teltarif.de, Montage: teltarif.de
Ein Fehler im HomeKit-System von Apple kann iPhones und iPads unbenutzbar machen. Das berichtet das Onlinemagazin heise unter Berufung auf einen Sicherheitsexperten, der die Doorkit genannte Lücke veröffentlicht hat. Der Softwarefehler ist den Angaben zufolge bereits seit August bekannt. Apple habe zuletzt im Dezember mitgeteilt, Anfang 2022 das Problem mit einem Sicherheits-Update für iOS und iPadOS zu beheben. Unklar ist, warum die Fehlerbereinigung beim Hersteller offenbar keine so hohe Priorität hat.
Der Sicherheitsexperte Trevor Spiniolas hatte entdeckt, dass es möglich ist, für HomeKit-Geräte extrem lange Bezeichnungen festzulegen. Diese Bezeichnungen werden über die iCloud auf alle mit der gleichen Apple-ID genutzten Systeme zu übertragen. Ein iPhone oder iPad kommt mit solchen extrem langen Strings aber nicht zurecht und versagt seinen Dienst, sobald die Bezeichnung über den Online-Speicher von Apple auf dem Smartphone oder Tablet ankommt.
Betroffen sind den Angaben zufolge zumindest alle iOS- und iPadOS-Versionen ab 14.7. Die Wahrscheinlichkeit sei aber hoch, dass das Problem auch bei Firmware-Versionen ab 14.0 auftrete. Mit iOS 15 hat Apple zwar eine Begrenzung für die Länge der Bezeichnung eines HomeKit-Geräts eingeführt. In der Praxis unsinnige Bezeichnungen wie die von Spiniolas genutzte mit 500.000 Zeichen lassen sich nicht mehr neu anlegen. Wird die überlange Bezeichnung aber auf einem Gerät mit älterer Firmware-Version eingepflegt, so erfolgt die Synchronisierung auch auf iPhones und iPads, auf denen iOS bzw. iPadOS 15.x genutzt wird.
Spiniolas beschreibt Sicherheitslücke auf Webseite
Sicherheitslücke bei Apple HomeKit
Fotos: Apple/teltarif.de, Montage: teltarif.de
Auf einer eigens eingerichteten Webseite beschreibt Spiniolas den Fehler und die Tests, die er in diesem Zusammenhang durchgeführt hat. Dabei bestätigt der Sicherheitsforscher auch, dass das Problem mit iOS bzw. iPadOS 15 nicht behoben hat. Stattdessen habe Apple auf Anfang 2022 vertröstet. Nicht bekannt ist, ob die Behebung der Lücke zu den Neuerungen gehört, die iOS 15.3 mit sich bringen wird. Die neue Betriebssystem-Version befindet sich bereits im Beta-Test.
Für die Veröffentlichung der Sicherheitslücke hat sich Spiniolas nach eigenen Angaben erst entschieden, nachdem sich Apple mit der Fehlerbereinigung extrem viel Zeit lässt. Zum einen will der Sicherheitsforscher so die Öffentlichkeit auf die potenzielle Gefahr aufmerksam machen. Zum anderen könnte so auch der Druck auf Apple steigen, die Lücke zeitnah zu schließen.
Wie berichtet klagen einige iPhone-Besitzer derzeit auch wieder über Probleme beim Einsatz von Apple CarPlay.