Apple: Sicherheitslücke kann iPhones und iPads unbenutzbar machen

Über eine Sicherheitslücke in Apples Homekit lassen sich iPhones erst nach einem Reset wieder nutzen. Ein Update hat Apple verschoben.

Artikel veröffentlicht am ,
Ob dieses iPhone noch auf Nutzereingaben reagiert?
Ob dieses iPhone noch auf Nutzereingaben reagiert? (Bild: Tobias Költzsch/Golem.de)

Wegen einer Sicherheitslücke in Apples Smart-Home-System Homekit können iPhones und iPads unbenutzbar werden. Nachdem Apple die Sicherheitslücke nach mehr als vier Monaten nicht geschlossen hatte, wurde sie nun vom Entdecker Trevor Spiniolas veröffentlicht. Dieser nannte die Sicherheitslücke Doorlock.

Stellenmarkt
  1. IT-Architekt (m/w/d)
    rhenag Rheinische Energie Aktiengesellschaft, Köln
  2. Leitung der IT-Einheit für die Integration von Cloud Lösungen (m/w/d)
    Deutsche Bundesbank, Hamburg, Frankfurt am Main, Düsseldorf
Detailsuche

"Wenn der Name eines Homekit-Geräts in eine lange Zeichenfolge geändert wird (in meinen Tests 500.000 Zeichen), wird jedes Gerät mit einer betroffenen iOS-Version, das die Zeichenfolge lädt, unbenutzbar", schreibt der Sicherheitsforscher. Selbst ein Neustart helfe nicht. Das Gerät bleibe unbenutzbar und müsse einem Reset unterzogen werden - mit dem damit einhergehenden Verlust lokaler Daten. Nach einem Reset dürfe man sich nicht direkt wieder mit seinem iCloud-Konto anmelden, da sonst der Fehler erneut getriggert werden könne.

Einen solchen langen Gerätenamen kann unter iOS 14.7 und wahrscheinlich auch in allen Vorgängerversionen jede App mit Zugriff auf die Homekit-API vergeben. "In iOS 15.1 (oder möglicherweise 15.0) wurde ein Limit für die Länge des Namens eingeführt, den eine App oder der Benutzer festlegen kann", schreibt der Sicherheitsforscher. Entsprechend könne eine Anwendung unter iOS 15.1 und 15.2 den Fehler nicht mehr auslösen. Von den Auswirkungen eines langen Namens, der beispielsweise von einem Gerät mit iOS 14.7 vergeben werden könne, seien jedoch auch aktuelle Geräte mit iOS 15.2 betroffen.

Apple verschiebt Fix auf Anfang 2022

"Wenn der Name eines Homekit-Geräts geändert wird, wird der neue Name in iCloud gespeichert und auf allen anderen iOS-Geräten aktualisiert, die mit demselben Konto angemeldet sind, wenn Home Data aktiviert ist", erklärte der Experte. Diese Daten würden regelmäßig ohne Benutzerinteraktion ausgeführt - damit werde das Problem ausgelöst. Voraussetzung dafür sei, dass Home-Geräte im Kontrollzentrum aktiviert seien - die Standardeinstellung, wenn Homekit verwendet werde. Sei dies nicht der Fall, sei nur die Home-App unbenutzbar.

Golem Akademie
  1. Netzwerktechnik Kompaktkurs: virtueller Fünf-Tage-Workshop
    14.–18. Februar 2022, virtuell
  2. Webentwicklung mit React and Typescript: virtueller Fünf-Halbtage-Workshop
Weitere IT-Trainings

Die Sicherheitslücke könne beispielsweise von Ransomwares ausgenutzt werden, warnte der Sicherheitsforscher. "Ein Angreifer könnte auch Home-Einladungen mit den bösartigen Daten an Nutzer mit einer der beschriebenen iOS-Versionen senden, selbst wenn diese kein Homekit-Gerät besitzen."

Gemeldet habe er den Fehler am 10. August 2021. Ursprünglich habe Apple erklärt, den Fehler noch im vergangenen Jahr zu beheben. Am 8. Dezember 2021 hätten sie den Zeitpunkt jedoch auf "Anfang 2022" verschoben. Daraufhin teilte Spiniolas Apple mit, dass er die Sicherheitslücke zum 1. Januar 2022 veröffentlichen werde, da sie ein ernsthaftes Risiko für Apple-Nutzer darstelle und die Öffentlichkeit informiert werden müsse. Apples Update-Geschwindigkeit sowie der Umgang mit gemeldeten Sicherheitslücken wird immer wieder kritisiert.

Bitte aktivieren Sie Javascript.
Oder nutzen Sie das Golem-pur-Angebot
und lesen Golem.de
  • ohne Werbung
  • mit ausgeschaltetem Javascript
  • mit RSS-Volltext-Feed
Reklame: Hier geht es zum neuen Apple iPad Mini bei Amazon
Zu den Kommentaren springen
Verwandte Artikel
artikel-bild
Sicherheitslücken
Apple patcht heimlich Zero Days, ohne Entdecker zu erwähnen
artikel-bild
NSO Pegasus
Mit der Logikgatter-VM im Fax-Algorithmus zum Trojaner
artikel-bild
Staatstrojaner
Journalist der New York Times mit Pegasus gehackt
artikel-bild
Browser
Apple patcht Sicherheitslücke in Safari über Wochen nicht
artikel-bild
Security
Forscher veröffentlicht iOS-Lücken aus Ärger über Apple
Meistgelesen
artikel-bild
Framework Laptop im Hardware-Test
Schrauber aller Länder, vereinigt euch!
artikel-bild
5.000 Dollar Belohnung
Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen
artikel-bild
Framework Laptop im Test
Das wird unser nächstes reparierbares Arbeits-Notebook
artikel-bild
Hauptuntersuchung
Tesla Model S beim TÜV nur knapp vor Verbrennern von Dacia
artikel-bild
Naomi "SexyCyborg" Wu
Pappbüste einer Tech-Youtuberin ist Youtube zu anstößig
Kommentarübersicht
Re: Wieso interessant für Ransomware?
derdiedas 04. Jan 2022 / Themenstart

Da man es aber selbst wieder Herstellen kann, so what. Und wie bitte soll eine...

Na ja schon arg konstruierte Lücke oder?
derdiedas 04. Jan 2022 / Themenstart

Ich muss meinem HomeKit einen Namen geben der 500k+ Zeichen enthält damit ich mir selber...

Re: Apple's Update-Politik- und Geschwindigkeit...
derdiedas 04. Jan 2022 / Themenstart

Und was hilft es Dir wenn Android 6 Rauskommt, deine Hardware aber keines bekommt? Das...

Re: 500.000 Zeichen?
Somian 03. Jan 2022 / Themenstart

Ja, und wenn man z.b. ein AirBnb mietet kann man ja zum HomeKit Home eingeladen werden...

Kommentieren

Aktuell auf der Startseite von Golem.de
Framework Laptop im Hardware-Test
Schrauber aller Länder, vereinigt euch!

Der modulare Framework Laptop ist ein wahrgewordener Basteltraum. Und unsere Begeisterung für das, was damit alles möglich ist, lässt sich nur schwer bändigen.
Ein Test von Oliver Nickel und Sebastian Grüner

Framework Laptop im Hardware-Test: Schrauber aller Länder, vereinigt euch!
Artikel
  1. Rohstoffe: Lithiumkarbonat für über 50 Euro/kg gefährdet Akkupreise
    Rohstoffe
    Lithiumkarbonat für über 50 Euro/kg gefährdet Akkupreise

    Die Lithiumknappheit treibt Kosten für Akkuhersteller in die Höhe und lässt Alternativen attraktiver werden.
    Eine Analyse von Frank Wunderlich-Pfeiffer

  2. 5.000 Dollar Belohnung: Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen
    5.000 Dollar Belohnung
    Elon Musk wollte Twitter-Konto von 19-Jährigem stilllegen

    Tesla-Chef Elon Musk bot einem US-Teenager jüngst angeblich 5.000 US-Dollar, damit der seinen auf Twitter betriebenen Flight-Tracker einstellt.

  3. Wochenrückblick: Zu viele Zertifikate
    Wochenrückblick
    Zu viele Zertifikate

    Golem.de-Wochenrückblick Zu viele Impfzertifikate und zu lange Kündigungsfristen: die Woche im Video.

Du willst dich mit Golem.de beruflich verändern oder weiterbilden?
Zum Stellenmarkt
Stellemarkt-Logo
Zur Akademie
Akademie-Logo
Zum Coaching
Shifoo-Logo
  • Schnäppchen, Rabatte und Top-Angebote
    Die besten Deals des Tages
    Daily Deals • Alternate (u.a. HP Omen 25i 165 Hz 184,90€) • MindStar (u.a. Patriot Viper VPN100 1 TB 99€) • HyperX Streamer Starter Set 67€ • WD BLACK P10 Game Drive 5 TB 111€ • Trust GXT 38 35,99€ • RTX 3080 12GB 1.499€ • PS5 Digital mit o2-Vertrag bestellbar • Prime-Filme für je 0,99€ leihen [Werbung]
  1. Themen
  2. A
  3. B
  4. C
  5. D
  6. E
  7. F
  8. G
  9. H
  10. I
  11. J
  12. K
  13. L
  14. M
  15. N
  16. O
  17. P
  18. Q
  19. R
  20. S
  21. T
  22. U
  23. V
  24. W
  25. X
  26. Y
  27. Z
  28. #
 
 
    •  /