Push-Nachrichten von MacTechNews.de
Würden Sie gerne aktuelle Nachrichten aus der Apple-Welt direkt über Push-Nachrichten erhalten?

HomeKit: Sicherheitslücke „doorLock“ kann iPhone und iPad außer Gefecht setzen

Auch wenn viele Menschen kontinuierlich an Verbesserungen für iOS arbeiten – die perfekte Software gibt es schlicht nicht. So treten immer wieder Bugs und Probleme auf, die eines Software-Updates bedürfen. Glücklicherweise macht niemand Apple in dieser Disziplin etwas vor: So erhalten selbst betagte Baureihen des iPhones noch aktuelle iOS-Versionen oder zumindest Sicherheitsupdates. Allerdings erntet Cupertino auch immer wieder Kritik: So reagiere der Konzern auf viele Hinweise auf Sicherheitslücken oftmals träge und zolle den Findern schwerer Exploits zu wenig Anerkennung. Nun nennt der Sicherheitsforscher Trevor Spiniolas eine weitere Schwachstelle – einmal mehr macht es den Anschein, als sei Apple bei der Behebung des Problems deutlich zu langsam.


Lange Namen für HomeKit-Geräte machen iPhone und iPad unbrauchbar
Spiniolas geht ausführlich in einem neuen Beitrag auf die Schwachstelle bei Apples HomeKit ein. Der Fehler, von Spiniola „doorLock“ genannt, tritt dann auf, wenn ein HomeKit-Gerät mit einer langen Zeichenfolge versehen wird – laut dem Sicherheitsforscher bedarf es mindestens 500.000 Zeichen. Lädt ein iPhone oder iPad, das mit derselben Apple-ID verbunden ist, diese Zeichenfolge, so wird es unbrauchbar: Ein Neustart schaffe keine Abhilfe, vielmehr müsse das Gerät neu aufgesetzt werden. Anschließend ist der Nutzer angehalten, nicht achtlos eine Anmeldung in der iCloud vorzunehmen, da der Fehler dann erneut auftreten kann. Die Sicherheitslücke sei überaus problematisch: Apps mit Zugriff auf HomeKit-Daten des Anwenders seien so in der Lage, Geräte lahmzulegen und die Zeichenkette erst nach Zahlung eines Lösegelds zu ändern.


Fehler besteht auch in iOS 15.2
Spiniola habe die Sicherheitslücke nach eigenen Aussagen bereits am 10. August 2021 an Apple gemeldet – das Unternehmen erklärte zuerst, den Fehler bis Ende 2021 beheben zu wollen, räumte sich dann aber mehr Zeit ein. Seit iOS 15.0 oder 15.1 sei zwar die Zeichenfolge deutlich limitiert worden, trotzdem könnte ein iPhone oder iPad selbst mit iOS und iPadOS 15.2 außer Gefecht gesetzt werden: Auf Geräten mit iOS 14.7 ist es weiterhin möglich, derart lange Namen zu vergeben. Lädt ein iPhone oder iPad mit aktueller Software diesen Namen, tritt der Fehler auf. Wann Apple die kritische Lücke endgültig ausmerzt, ist weiterhin ungewiss.
macOS Sonoma: Update installiert sich in manchen Fällen von selbst
macOS Sonoma: Update installiert sich in manche...
"Sie wurden Opfer eines Cyberangriffs": Apple informiert erneut iPhone-Nutzer über möglichem Einbruch
"Sie wurden Opfer eines Cyberangriffs": Apple i...
Günstige "AirPods Lite" geplant?
Günstige "AirPods Lite" geplant?
Wesentlich günstigere Apple Vision Pro auf dem Weg? Apple beschleunigt Pläne angeblich
Wesentlich günstigere Apple Vision Pro auf dem ...
iPhone 16: Die ersten Dummy-Modelle kursieren und zeigen Details
iPhone 16: Die ersten Dummy-Modelle kursieren u...
iPad Pro mit OLED
iPad Pro mit OLED
Vision Pro: Tipps gegen Schwindel/Übelkeit
Vision Pro: Tipps gegen Schwindel/Übelkeit
Blanke Kappen: Neuer Ärger mit MacBook-Tastaturen?
Blanke Kappen: Neuer Ärger mit MacBook-Tastatur...

Kommentare

skipper03.01.22 15:01
Wer vergibt denn einen Namen, der mehr als 500000 Zeichen hat? Das ist ja länger als ein dickes Buch!
Ich würde mal behaupten, dass das nie vorkommt.
+1
awk03.01.22 15:06
skipper
Ich würde mal behaupten, dass das nie vorkommt.

Böse Buben machen das schon. Über ein Skript ist das kein Aufwand.

Ich bezweifle jedoch, dass diese Sicherheitslücke von grosser Relevanz ist.
+2
Matze198503.01.22 15:06
skipper

Je nach Größe des Hauses
+3
ruphi
ruphi03.01.22 15:28
skipper
Ich hatte den Artikel so verstanden, dass es einem potentiellen Angreifer möglich ist, ein Gerät entsprechend umzubenennen:
MTN
Apps mit Zugriff auf HomeKit-Daten des Anwenders seien so in der Lage, Geräte lahmzulegen und die Zeichenkette erst nach Zahlung eines Lösegelds zu ändern
+1
skipper04.01.22 00:38
ruphi
skipper
Ich hatte den Artikel so verstanden, dass es einem potentiellen Angreifer möglich ist, ein Gerät entsprechend umzubenennen:
MTN
Apps mit Zugriff auf HomeKit-Daten des Anwenders seien so in der Lage, Geräte lahmzulegen und die Zeichenkette erst nach Zahlung eines Lösegelds zu ändern
Ja, aber so eine App muss erst mal im App Store aufgenommen werden und dann muss man sie sich installieren und sie muss von ganz bösen Buben programmiert sein.

Da ist die Kette der Zufälle schon ziemlich lang, die da alle passen müssen.
0
Dirk!04.01.22 08:22
Insb. hat auch nicht jede App Zugriff auf HomeKit. Das muss unter Datenschutzeinstellungen pro App jeweils einzeln freigegeben sein.

Somit halte ich das Bedrohungspotential erstmal für nicht so hoch, es sei denn ich habe etwas falsch verstanden, aber ärgerlich und problematisch ist so ein Fehler und das Vorgehen Apples in solchen Fällen trotzdem.
+1

Kommentieren

Sie müssen sich einloggen, um die News kommentieren zu können.