5. Januar 2022, 14:06 Uhr | Lesezeit: 5 Minuten
Normalerweise ist Apple schnell darin, Schwachstellen in iOS zu beseitigen. Doch mit einem besonders gefährlichen Fehler lässt sich das Unternehmen Zeit.
Ein Sicherheitsforscher hat in Apples HomeKit-Plattform einen Bug entdeckt, die im schlimmsten Fall das iPhone oder iPad unbrauchbar machen kann. Die Sicherheitslücke betrifft die Home-App, mit der Nutzer ihre Smart-Home-Geräte steuern können.
HomeKit-Bug friert iPhone und iPad ein
Sicherheitsforscher Trevor Spiniolas berichtet auf seinem privaten Blog, wie Hacker die Schwachstelle ausnutzen könnten. Es reiche demnach aus, den Namen eines Smart-Home-Geräts, das in der Home-App hinterlegt ist, in eine Kombination aus 500.000 Zeichen (Buchstaben, Zahlen und Sonderzeichen) zu ändern. Versucht ein iPhone oder iPad, diese Zeichenkombination in der Home-App anzuzeigen, friert das gesamte Betriebssystem ein. Selbst nach einem kompletten Reset auf die Werkseinstellungen bleibt dieses Problem bestehen, wenn man sich wieder mit dem iCloud-Account anmeldet, an den das Smart-Home-Gerät gebunden ist. Spiniolas hat den Fehler auf iPhone 7, iPhone Xs und iPad 6 mit den iOS-Versionen 14.7 bis 15.2 gefunden.
Wie können Hacker die Schwachstelle ausnutzen?
Was den HomeKit-Bug so gefährlich macht, ist die Tatsache, dass dafür keine spezielle Malware oder Hacking-Kenntnisse erforderlich sind. Denn die Home-App in iOS ermöglicht das Teilen von Smart-Home-Geräten mit anderen Personen. Angreifer müssen also lediglich Einladungen mit einem manipulierten Smart-Home-System verschicken. Als Kontakt reicht bereits die E-Mail-Adresse aus.
Nimmt man diese Einladung an, können zwei Dinge passieren:
- Wenn man selbst kein Smart-Home-Geräte in der Home-App hinterlegt hat und die Home-Steuerelemente im Kontrollzentrum deaktiviert sind, stürzt lediglich die App ab. Doch selbst nach dem Zurücksetzen des iPhones bleibt die App unbrauchbar, da die manipulierten Daten in iCloud hinterlegt sind.
- Sobald die Home-Steuerelemente im Kontrollzentrum aktiviert sind, führt die Attacke zum kompletten Einfrieren des Betriebssystems. Die Steuerelemente sind automatisch im Kontrollzentrum, sobald man ein Smart-Home-Gerät in der Home-App eingerichtet hat. Weder Neustart noch ein Update löst das Problem, wodurch das iPhone oder iPad unbenutzbar ist. Auch die Verbindung per USB mit einem Computer ist nicht möglich, wodurch lokal gespeicherte Dateien nicht mehr zugänglich sind. Selbst nach einem Reset bleibt der Fehler weiterhin bestehen, wenn man sich wieder mit dem iCloud-Account anmeldet.
Als ob das noch nicht genug wäre, können auch andere iPhones und iPads mit dem Bug infiziert werden. Denn alle Geräte, auf denen man mit dem iCloud-Account angemeldet ist, teilen die Home-App-Daten miteinander. Ist ein iPhone von der HomeKit-Attacke betroffen und synchronisiert mit anderen Geräten, springt der Fehler darauf über.
Spiniolas Befürchtung ist, dass Angreifer die Sicherheitslücke zur Erpressung missbrauchen könnten. Wenn sie mit manipulierten HomeKit-Einladungen die iPhones und iPads von Nutzern unbrauchbar machen, könnten sie ein Lösegeld verlangen, um den Zugriff wieder freizuschalten.
Lesen Sie auch: Wussten Sie, dass Apple auch Apps für Android-Smartphones anbietet?
Apple lässt sich Zeit mit einem Bugfix für HomeKit
Der Sicherheitsforscher hatte den Fehler bereits im August 2021 an Apple gemeldet. Das Unternehmen gelobte, einen Bugfix noch im gleichen Jahr auszuspielen. Doch im Dezember verschob Apple den Fix auf Anfang 2022. Geht es nach Spiniolas, ist das nicht schnell genug, weshalb er nun auf seinem privaten Blog über die Sicherheitslücke berichtet. Seine Begründung dafür, den Bug noch vor Apple öffentlich zu machen: „die Öffentlichkeit sollte über diese Schwachstelle informiert sein und darüber, wie man sich vor deren Ausnutzung schützt, anstatt darüber im Dunkeln gelassen zu werden.“ Da Apple die Sicherheitslücke bislang nicht beseitigt hat, bleibt der Fehler auch im aktuellen iOS 15.2 bestehen.
Zwar hat Apple in iOS 15.1 eine Begrenzung der Zeichenlänge eingefügt, die ein Smart-Home-Gerät haben kann. Hacker könnten aber einfach ältere iOS-Versionen verwenden, um den Namen in 500.000 Zeichen zu ändern. Teilen sie das manipulierte Smart-Home-System mit einem iPhone, auf dem iOS 15.1 oder neuer läuft, stürzt dieses trotz der Zeichenbegrenzung ab.
Wie können sich Nutzer schützen?
Da Apple selbst noch keinen Patch für die Schwachstelle bereitstellt, liegt es an den Nutzern, sich zu schützen. In erster Linie sollte man keine HomeKit-Einladungen von unbekannten Kontakten annehmen, selbst wenn sie nach einem offiziellen Apple-Absender oder einem Smart-Home-Gerät klingen.
Es kann zudem helfen, die Home-Steuerelemente im Kontrollzentrum zu deaktivieren, wenn man die Home-App gar nicht nutzt. Dafür muss man unter Einstellungen>Kontrollzentrum>Home-Steuerelemente die Option deaktivieren.
Ist ein Gerät bereits infiziert, hilft nur noch das Zurücksetzen auf die Werkseinstellungen. Wichtig ist, sich bei der Neueinrichtung nicht mit dem bisherigen iCloud-Account anzumelden, da sich das Gerät dann neu infiziert. Außerdem sollte man auf allen anderen iPhones und iPads, die mit dem gleichen iCloud-Account verbunden sind, die Home-App vorläufig löschen.
TECHBOOK informiert Sie, sobald ein Sicherheits-Patch von Apple bereitsteht.