Sicherheitslücke kann iPhone & iPad lahmlegen

Sicherheitslücke bei Apple HomeKit
Fotos: Apple/teltarif.de, Montage: teltarif.de Ein Fehler im HomeKit-System von Apple kann iPhones und iPads unbe­nutzbar machen. Das berichtet das Online­magazin heise unter Beru­fung auf einen Sicher­heits­experten, der die Doorkit genannte Lücke veröf­fent­licht hat. Der Soft­ware­fehler ist den Angaben zufolge bereits seit August bekannt. Apple habe zuletzt im Dezember mitge­teilt, Anfang 2022 das Problem mit einem Sicher­heits-Update für iOS und iPadOS zu beheben. Unklar ist, warum die Fehler­berei­nigung beim Hersteller offenbar keine so hohe Prio­rität hat.

Der Sicher­heits­experte Trevor Spiniolas hatte entdeckt, dass es möglich ist, für HomeKit-Geräte extrem lange Bezeich­nungen fest­zulegen. Diese Bezeich­nungen werden über die iCloud auf alle mit der glei­chen Apple-ID genutzten Systeme zu über­tragen. Ein iPhone oder iPad kommt mit solchen extrem langen Strings aber nicht zurecht und versagt seinen Dienst, sobald die Bezeich­nung über den Online-Spei­cher von Apple auf dem Smart­phone oder Tablet ankommt.

Betroffen sind den Angaben zufolge zumin­dest alle iOS- und iPadOS-Versionen ab 14.7. Die Wahr­schein­lich­keit sei aber hoch, dass das Problem auch bei Firm­ware-Versionen ab 14.0 auftrete. Mit iOS 15 hat Apple zwar eine Begren­zung für die Länge der Bezeich­nung eines HomeKit-Geräts einge­führt. In der Praxis unsin­nige Bezeich­nungen wie die von Spiniolas genutzte mit 500.000 Zeichen lassen sich nicht mehr neu anlegen. Wird die über­lange Bezeich­nung aber auf einem Gerät mit älterer Firm­ware-Version einge­pflegt, so erfolgt die Synchro­nisie­rung auch auf iPhones und iPads, auf denen iOS bzw. iPadOS 15.x genutzt wird.

Spiniolas beschreibt Sicher­heits­lücke auf Webseite

Sicherheitslücke bei Apple HomeKit
Fotos: Apple/teltarif.de, Montage: teltarif.de Auf einer eigens einge­rich­teten Webseite beschreibt Spiniolas den Fehler und die Tests, die er in diesem Zusam­men­hang durch­geführt hat. Dabei bestä­tigt der Sicher­heits­for­scher auch, dass das Problem mit iOS bzw. iPadOS 15 nicht behoben hat. Statt­dessen habe Apple auf Anfang 2022 vertröstet. Nicht bekannt ist, ob die Behe­bung der Lücke zu den Neue­rungen gehört, die iOS 15.3 mit sich bringen wird. Die neue Betriebs­system-Version befindet sich bereits im Beta-Test.

Für die Veröf­fent­lichung der Sicher­heits­lücke hat sich Spiniolas nach eigenen Angaben erst entschieden, nachdem sich Apple mit der Fehler­berei­nigung extrem viel Zeit lässt. Zum einen will der Sicher­heits­for­scher so die Öffent­lich­keit auf die poten­zielle Gefahr aufmerksam machen. Zum anderen könnte so auch der Druck auf Apple steigen, die Lücke zeitnah zu schließen.

Wie berichtet klagen einige iPhone-Besitzer derzeit auch wieder über Probleme beim Einsatz von Apple CarPlay.