Apple: Sicherheitslücke kann iPhones und iPads unbenutzbar machen

Wegen einer Sicherheitslücke in Apples Smart-Home-System Homekit können iPhones und iPads unbenutzbar werden. Nachdem Apple die Sicherheitslücke nach mehr als vier Monaten nicht geschlossen hatte, wurde sie nun vom Entdecker Trevor Spiniolas veröffentlicht. Dieser nannte die Sicherheitslücke Doorlock.

"Wenn der Name eines Homekit-Geräts in eine lange Zeichenfolge geändert wird (in meinen Tests 500.000 Zeichen), wird jedes Gerät mit einer betroffenen iOS-Version, das die Zeichenfolge lädt, unbenutzbar", schreibt der Sicherheitsforscher. Selbst ein Neustart helfe nicht. Das Gerät bleibe unbenutzbar und müsse einem Reset unterzogen werden - mit dem damit einhergehenden Verlust lokaler Daten. Nach einem Reset dürfe man sich nicht direkt wieder mit seinem iCloud-Konto anmelden, da sonst der Fehler erneut getriggert werden könne.

Einen solchen langen Gerätenamen kann unter iOS 14.7 und wahrscheinlich auch in allen Vorgängerversionen jede App mit Zugriff auf die Homekit-API vergeben. "In iOS 15.1 (oder möglicherweise 15.0) wurde ein Limit für die Länge des Namens eingeführt, den eine App oder der Benutzer festlegen kann", schreibt der Sicherheitsforscher. Entsprechend könne eine Anwendung unter iOS 15.1 und 15.2 den Fehler nicht mehr auslösen. Von den Auswirkungen eines langen Namens, der beispielsweise von einem Gerät mit iOS 14.7 vergeben werden könne, seien jedoch auch aktuelle Geräte mit iOS 15.2 betroffen.

Apple verschiebt Fix auf Anfang 2022

"Wenn der Name eines Homekit-Geräts geändert wird, wird der neue Name in iCloud gespeichert und auf allen anderen iOS-Geräten aktualisiert, die mit demselben Konto angemeldet sind, wenn Home Data aktiviert ist", erklärte der Experte. Diese Daten würden regelmäßig ohne Benutzerinteraktion ausgeführt - damit werde das Problem ausgelöst. Voraussetzung dafür sei, dass Home-Geräte im Kontrollzentrum aktiviert seien - die Standardeinstellung, wenn Homekit verwendet werde. Sei dies nicht der Fall, sei nur die Home-App unbenutzbar.

Die Sicherheitslücke könne beispielsweise von Ransomwares ausgenutzt werden, warnte der Sicherheitsforscher. "Ein Angreifer könnte auch Home-Einladungen mit den bösartigen Daten an Nutzer mit einer der beschriebenen iOS-Versionen senden, selbst wenn diese kein Homekit-Gerät besitzen."

Gemeldet habe er den Fehler am 10. August 2021. Ursprünglich habe Apple erklärt, den Fehler noch im vergangenen Jahr zu beheben. Am 8. Dezember 2021 hätten sie den Zeitpunkt jedoch auf "Anfang 2022" verschoben. Daraufhin teilte Spiniolas Apple mit, dass er die Sicherheitslücke zum 1. Januar 2022 veröffentlichen werde, da sie ein ernsthaftes Risiko für Apple-Nutzer darstelle und die Öffentlichkeit informiert werden müsse. Apples Update-Geschwindigkeit sowie der Umgang mit gemeldeten Sicherheitslücken wird immer wieder kritisiert.