HomeKit: Sicherheitslücke „doorLock“ kann iPhone und iPad außer Gefecht setzen
Auch wenn viele Menschen kontinuierlich an Verbesserungen für iOS arbeiten – die perfekte Software gibt es schlicht nicht. So treten immer wieder Bugs und Probleme auf, die eines Software-Updates bedürfen. Glücklicherweise macht niemand Apple in dieser Disziplin etwas vor: So erhalten selbst betagte Baureihen des iPhones noch aktuelle iOS-Versionen oder zumindest Sicherheitsupdates. Allerdings erntet Cupertino auch immer wieder Kritik: So reagiere der Konzern auf viele Hinweise auf Sicherheitslücken oftmals träge und zolle den Findern schwerer Exploits zu wenig Anerkennung. Nun nennt der Sicherheitsforscher Trevor Spiniolas eine weitere Schwachstelle – einmal mehr macht es den Anschein, als sei Apple bei der Behebung des Problems deutlich zu langsam.
Lange Namen für HomeKit-Geräte machen iPhone und iPad unbrauchbarSpiniolas geht ausführlich in einem neuen
Beitrag auf die Schwachstelle bei Apples HomeKit ein. Der Fehler, von Spiniola „doorLock“ genannt, tritt dann auf, wenn ein HomeKit-Gerät mit einer langen Zeichenfolge versehen wird – laut dem Sicherheitsforscher bedarf es mindestens 500.000 Zeichen. Lädt ein iPhone oder iPad, das mit derselben Apple-ID verbunden ist, diese Zeichenfolge, so wird es unbrauchbar: Ein Neustart schaffe keine Abhilfe, vielmehr müsse das Gerät neu aufgesetzt werden. Anschließend ist der Nutzer angehalten, nicht achtlos eine Anmeldung in der iCloud vorzunehmen, da der Fehler dann erneut auftreten kann. Die Sicherheitslücke sei überaus problematisch: Apps mit Zugriff auf HomeKit-Daten des Anwenders seien so in der Lage, Geräte lahmzulegen und die Zeichenkette erst nach Zahlung eines Lösegelds zu ändern.
Fehler besteht auch in iOS 15.2Spiniola habe die Sicherheitslücke nach eigenen Aussagen bereits am 10. August 2021 an Apple gemeldet – das Unternehmen erklärte zuerst, den Fehler bis Ende 2021 beheben zu wollen, räumte sich dann aber mehr Zeit ein. Seit iOS 15.0 oder 15.1 sei zwar die Zeichenfolge deutlich limitiert worden, trotzdem könnte ein iPhone oder iPad selbst mit iOS und iPadOS 15.2 außer Gefecht gesetzt werden: Auf Geräten mit iOS 14.7 ist es weiterhin möglich, derart lange Namen zu vergeben. Lädt ein iPhone oder iPad mit aktueller Software diesen Namen, tritt der Fehler auf. Wann Apple die kritische Lücke endgültig ausmerzt, ist weiterhin ungewiss.