Sicherheitslücke bei Apple: Homekit kann iPhone lahmlegen

Der Bug wurde mittlerweile durch die neue iOS-Version 15.2.1 behoben. In der Update-Beschreibung ist es nicht explizit aufgeführt, allerdings weist der Code auf die Behebung des Bugs hin.

Originaltext:

Wenn ihr ein Apples Homekit nutzt, müsst Ihr jetzt gut aufpassen, denn eine Sicherheitslücke sorgt momentan für großes Aufsehen. Durch einen Fehler im Homekit kann es passieren, dass Eure iPhones und iPads nicht mehr nutzbar sind. Die Probleme um den sogenannten "DoorLock" finden hier allerdings kein Ende, denn der Fehler ist bereits seit August 2021 bekannt und wurde nun durch den Sicherheitsforscher Trevor Spiniolas selbst veröffentlicht.

---

• Eine Sicherheitslücke in Apples Homekit sorgt momentan für großes Aufsehen.
• iPhones und iPads können durch einen Schriftfehler unbenutzbar gemacht werden.
• Apple plant ein Update für Anfang des Jahres.

---

Mit dem Homekit von Apple lässt sich vieles problemlos steuern. Allerdings wurde nun eine Sicherheitslücke veröffentlicht, die vor allem Geräte betrifft, die mit iOS 14.7 oder höher funktionieren. Spiniolas fand heraus, dass Gerätenamen mit einer langen Zeichenfolge einen Fehler verursachen, der die Geräte unbenutzbar macht. Seine Tests haben gezeigt, dass bei einer Folge von circa 500.000 Zeichen Geräte lahmgelegt werden, die diese aus der Homekit-API laden. Dann hilft auch kein Neustart der Geräte mehr, sondern die Geräte müssen komplett zurückgesetzt werden, was den Verlust von persönlichen Daten zur Folge hat.

Mit iOS 15.0 wurde zwar eine Limitierung der Zeichenfolge eingeführt, allerdings scheinen nun auch Geräte betroffen zu sein, die mit iOS 15.2 laufen. Wenn also ein Gerät mit einem älteren Betriebssystem die lange Zeichenfolge in die Homekit-API lädt, dann kann es durchaus vorkommen, dass die neueren Geräte diese Zeichenfolge laden und anschließend nicht mehr funktionieren.

All iOS versions released from iOS 14.7 have been tested, and the vulnerability exists on all versions. Devices used during testing include an iPhone 7 (iOS 15.2-14.7), an iPad 6 (iOS 15.0 beta and iOS 14.7), and an iPhone XS (iOS 14.7.1 & 14.7). While untested, it is likely that the bug exists on all versions of iOS 14. Quelle: Trevor Spiniolas

Apple will den Fehler Anfang des Jahres beheben

Wenn ein iOS-Gerätename geändert wird, dann wird dieser von allen verbundenen Geräten heruntergeladen und aktualisiert – dadurch wird der Fehler überhaupt erst ausgelöst und die Geräte funktionieren nicht mehr. Sollten die Geräte nicht über die Home Data verbunden sein, funktioniert lediglich die Home-App nicht mehr. Ob Ihr bis zur Behebung des Fehlers eure Home Data trennen wollt, bleibt allerdings euch überlassen.

Von dieser Sicherheitslücke geht neben dem Problem mit der Funktionalität noch eine weitere Gefahr einher. Sollten Angreifer versuchen mit einer Ransomware die Daten an Geräte zu schicken, dann könnten beispielsweise Geräte mit iOS 14.7 durch Dritte unbenutzbar gemacht werden. Dadurch würde man ohne eigenes Zutun alle persönlichen, ungesicherten Daten verlieren. 

 I then informed them on December 9th that I planned to publicly disclose this information on January 1st, 2022. I believe this bug is being handled inappropriately as it poses a serious risk to users and many months have passed without a comprehensive fix. Quelle: Trevor Spiniolas

Der Sicherheitsforscher fand den Fehler darüber hinaus bereits im August 2021. Apple hat seit dem nicht wirklich auf den Fehler reagiert, weshalb sich Spiniolas nun entschied, selbst an die Öffentlichkeit zu treten. Er selbst behauptet, dass der Fehler ein ernsthaftes Risiko für Nutzer: innen darstellt und er deshalb selbst an die Öffentlichkeit treten wollte. 

Was haltet Ihr von der Sicherheitslücke? Ist es eine ernsthafte Bedrohung oder viel Rauch um Nichts? Lasst es uns in den Kommentaren wissen!

Via: Golem Quelle: Trevor Spiniolas