Mit iOS 15.2.1

Update: Apple schliesst gefährliche Homekit-Sicherheitslücke

Uhr
von René Jaun und pwo, nba

Ein Fehler im Betriebssystem iOS kann dazu führen, dass iPhones abstürzen und neu aufgesetzt werden müssen. Der Fehler tritt auf, wenn Gerätenamen im Smarthome-Framework Homekit länger sind als 500'000 Zeichen. Apple schliesst die Sicherheitslücke mit dem neuesten iOS-Update

Homekit-Bug zwingt iPhones in die Knie (Source: Netzmedien).
Homekit-Bug zwingt iPhones in die Knie (Source: Netzmedien).

Update vom 13.1.2022:

Apple hat am 12. Januar Version 15.2.1 seiner Betriebssysteme iOS und iPadOS veröffentlicht. Darin ist auch ein Fix für die "Doorlock" Schwachstelle im Homekit-Framework enthalten, mit denen iPhones zum Absturz gebracht werden konnten. Das Problem wurde "durch eine verbesserte Eingabevalidierung behoben", schreibt Apple auf seiner Website. Das Update steht für alle Apple-Geräte zur Verfügung, die auch iPadOS und iOS 15 ausführen können.

Originalmeldung vom 04. Januar 2022:

Ein Sicherheitsforscher warnt vor einer neuen Schwachstelle im Apple-Betriebssystem iOS. Ein Angreifer könnte diese nutzen, um iPhones abstürzen zu lassen. Danach lassen sich die Geräte nicht mehr nutzen, bis sie gelöscht und neu aufgesetzt worden sind, berichtet "Bleeping computer" unter Berufung auf den Sicherheitsforscher Trevor Spiniolas. Laut diesem besteht der Softwarefehler in den iOS-Versionen ab 14.7. Betroffen ist auch die aktuelle Version 15.2. Spiniolas habe Apple bereits im vergangenen August über den Softwarefehler informiert, schreibt Bleeping Computer weiter. Seither habe der Tech-Konzern die Behebung des Problems immer wieder verschoben.

Lange Gerätenamen führen zum Crash

Die auf den Namen doorLock getaufte Schwachstelle sitzt im für Smarthomes verantwortlichen Framework Homekit. Laut Bleeping Computer wird der Fehler ausgelöst, wenn ein Smarthome-Gerät einen überlangen Namen – aus mehr als 500'000 Zeichen – erhält.

Konkret müsste ein Angreifer also den Namen eines Gerätes in der Home-App seines Opfers ändern, um sein iPhone abstürzen zu lassen. Gefährdet seien auch jene, die keine Homekit-Geräte nutzten, denn ein Angreifer könne seinen Opfern auch einen Einladungslink schicken, der ein solches Gerät hinzufügt.

Da noch kein Sicherheitspatch für den Fehler besteht, rät Spiniolas allen iPhone-Nutzern zur Vorsicht – insbesondere bei verdächtigen E-Mails mit Einladungslinks, die von Apple oder Herstellern von Homekit-Geräten kommen.

Wenn Sie mehr zu Cybercrime und Cybersecurity lesen möchten, melden Sie sich hier für den wöchentlichen Newsletter von Swisscybersecurity.net an. Auf dem Portal gibt es täglich News über aktuelle Bedrohungen und neue Abwehrstrategien.

Webcode
DPF8_241871