Ein Sicherheitsforscher hat zu Jahresbeginn eine HomeKit-Sicherheitslücke offengelegt, nachdem Apple das Problem nicht wie versprochen bis Ende 2021 korrigierte. Die Schwachstelle, genannt DoorLock, betrifft den Namen von HomeKit-Hardware. Wird eine sehr lange Bezeichnung gewählt (und anschließend per iCloud auf alle iPhones und iPads verteilt), werden die Geräte lahmgelegt und müssen neu aufgesetzt werden.
"Dieser Fehler wurde erstmals am 10. August gemeldet und ist noch in iOS 15.2 enthalten. Apple gab an, den Fehler in einem Sicherheitsupdate vor 2022 beheben zu wollen, hat es aber versäumt, eine tatsächliche Lösung vorzustellen. Am 8. Dezember änderten sie ihre Schätzung auf 'Anfang 2022'. Ich habe sie dann am 9. Dezember darüber informiert, dass ich diese Information am 1. Januar 2022 öffentlich machen werde.
Ich bin der Meinung, dass dieser Fehler unangemessen gehandhabt wird, da er ein ernsthaftes Risiko für die Benutzer darstellt und viele Monate ohne eine umfassende Behebung vergangen sind. Die Öffentlichkeit sollte über diese Schwachstelle Bescheid wissen und wissen, wie man verhindern kann, dass sie ausgenutzt wird, und nicht im Dunkeln gelassen werden", schreibt der Sicherheitsforscher Trevor Spiniolas auf seiner Web-Seite.
Bild: Apple.
"Über die HomeKit-API von Apple kann jede iOS-App mit Zugriff auf Home-Daten die Namen von HomeKit-Geräten ändern. Wenn der Name eines HomeKit-Geräts in eine lange Zeichenfolge geändert wird (in Tests 500.000 Zeichen), wird jedes Gerät mit einer betroffenen iOS-Version, das die Zeichenfolge lädt, unterbrochen, selbst nach einem Neustart. Das Wiederherstellen eines Geräts und die erneute Anmeldung bei dem mit dem HomeKit-Gerät verknüpften iCloud-Konto löst den Fehler erneut aus", so Spiniolas weiter.
DoorLock soll auch Geräte mit iOS/iPadOS 14 betreffen. Zwar habe Apple mit den jüngsten Updates ein Limit für HomeKit-Namen gesetzt, die Lücke könne jedoch auch noch unter iOS/iPadOS 15.2 in modifizierter Form ausgenutzt werden. Zwar Bedarf es dazu einiges an Aufwand, aufgrund des potentiell möglichen Schadens (Gerät unbrauchbar bis zur Wiederherstellung; möglicher Verlust persönlicher Daten) ist die Lücke dennoch als kritisch einzustufen.
Es bleibt abzuwarten, ob das für Ende Januar oder Anfang Februar erwartete Betriebssystemupdate iOS/iPadOS 15.3 den Fehler beheben wird.