Wer Apples Homekit verwendet, sollte derzeit besonders vorsichtig dabei sein, welchen Apps man Zugriff auf dieses System gibt – warnt doch nun ein Sicherheitsforscher vor einem schweren Fehler bei Homekit, mit dem iPhones und iPads komplett unbrauchbar gemacht werden können.

Fataler Absturz

Dem Sicherheitsexperten Trevor Spiniolas ist aufgefallen, dass es bei Homekit möglich ist, Geräte mit extrem langen Namen zu versehen. Testet man das aus, hat dies aber eben verheerende Konsequenzen: Der neue Name wird automatisch mit allen mit dem betreffenden Home verbundenen Geräten via iCloud synchronisiert. Kommt nun ein solch extrem langer String, ist das wie eine Denial-of-Service-Attacke. Das iPhone oder iPad wird immer langsamer, bis es gar nicht mehr reagiert.

Noch schlimmer: Auch ein Neustart hilft dann nichts mehr, das Gerät muss auf den Werkszustand zurückgesetzt und ohne Verbindung mit dem iCloud-Konto neu aufgesetzt werden. Letzteres, da ja sonst der Name erst recht wieder synchronisiert würde und das Ganze von vorn losgeht. Spiniolas nennt diesen Angriff insofern passend "Doorlock".

Fehlende Überprüfung

Der Sicherheitsforscher verwendet für seine Attacke Namen mit einer Länge von einer halben Million Zeichen, die er direkt über das Homekit-API setzt. Wieso Apple jemals zuließ, dass solch lange Strings eingegeben werden können, bleibt ein Rätsel. Mit iOS 15 hat Apple das zwar begrenzt, abgeschossen werden können aber weiterhin alle aktuellen Geräte darüber, wenn so ein langer Name einmal gesetzt wurde.

Einmal mehr kommt Apple in diesem Zusammenhang auch für seinen Umgang mit Sicherheitslücken in die Kritik. So betont Spiniolas, dass er den iPhone-Hersteller bereits im August über den Bug informiert habe. Anstatt den Fehler zu bereinigen, hieß es dann aber im Dezember, dass man irgendwann Anfang 2022 ein Update veröffentlichen wolle. Das hält der Sicherheitsforscher für einen zu langen Zeitraum und hat seine Recherchen nun öffentlich gemacht.

Szenarien

In diesem Fall lässt sich Apples Reaktion wohl zum Teil dadurch erklären, dass die Lücke tatsächlich nur schwer für einen Angriff auszunutzen ist. Ein Szenario wäre etwa, eine andere Person in ein entsprechend präpariertes Home einzuladen. Stimmen diese zu, folgt direkt die Attacke auf Smartphone oder Tablet. Ebenfalls denkbar wären manipulierte Apps, die sich von den Nutzern Zustimmung für den Zugriff aufs Homekit holen und dann den Namen selbst verändern. (apo, 4.1.2022)