Betriebssystem-Updates von Apple umfassen neben neuer Features stets auch Sicherheitsupdates – auch bei dem letzte Woche erschienenen iOS 17.2. Unter ihnen war eine Lücke, die aus dem Zusammenspiel von iPhone und Apple TV entstand. Diese ließ sich mit recht einfachen Mitteln ausnutzen, um iPhone-Anwender in der näheren Umgebung zu nerven oder von der Arbeit abzuhalten.


Der Flipper Zero ist ein hosentaschenkompatibles Gerät mit monochromem Display, Steuerkreuz und ein paar Buttons. Darin verbergen sich eine Menge drahtloser Technologien: NFC, RFID, Funkwellen, Infrarot – und eben auch Bluetooth. Dank umgestaltbarem Betriebssystem dient der Flipper Zero als Universalfernbedienung. Durch die Installation einer alternativen Firmware lässt es sich zum Auskundschaften von Sicherheitslücken (Penetration Testing) umfunktionieren.

Simuliertes Apple TV
Hintergrund ist eine Komfortfunktion des Apple TV: Wenn auf Apples Set-Top-Box eine Texteingabe notwendig wird, erscheint auf dem iPhone das Angebot, den Text über die iPhone-Tastatur einzugeben. Die Eingabeaufforderung erscheint sehr schnell – offenbar, weil das System dabei nicht genau prüft, ob Apple TV und iPhone derselben Person gehören. Die aktuelle Version der Flipper-Zero-Firmware "Xtreme" versetzte das Gerät in die Lage, ein Apple TV zu simulieren, das eine Tastatureingabe einforderte – und zwar mehrfach in der Sekunde. Auf diese Weise bombardierte Flipper Zero sämtliche iPhones im Umkreis von gut zehn Metern mit Kontaktanfragen. Das führte dazu, dass Nutzer Ihr Smartphone für eine gewisse Zeit nicht mehr bedienen konnten.

Update verringert die Zahl der Anfragen
Das Online-Magazin ZDNet hat es ausprobiert und bestätigt, dass iPhones mit aktuellem iOS 17.2 nicht mehr lahmgelegt werden können. Zwar tauchen bei aktiver Flipper-Zero-Xtreme-Firmware die verwirrenden Tastaturangebote auf, doch in weitaus geringerer Zahl. Apple hat in den Sicherheitsinformationen zu iOS 17.2 den Fehler erwähnt und nennt Mark Newlin von SkySafe als Entdecker der Sicherheitslücke.

Komfort vs. Sicherheit
Dieses eher nervige als gefährliche Beispiel zeigt, wie sehr Software-Entwickler zwischen Komfort und Sicherheit abwägen müssen: Würden Apple TV und iPhone jedes Mal überprüfen, ob dieselbe Apple-ID angemeldet ist, verstrichen wahrscheinlich einige Sekunden, bis Anwender am Smartphone ihre Suche oder ihr Kennwort eingeben können. Andererseits finden entdeckte Lücken in Windeseile Verbreitung und mit recht günstigen batteriebetriebenen Geräten Familienfeiern in Aufruhr versetzen.