Zero-Day-Lücke in iOS HomeKit erlaubt Remote-Zugriff IoT-Geräte

Der Bug steckt nur in iOS 11.2. Er lässt sich mit jedem iPhone oder iPad mit iOS 11.2 und Zugriff auf das HomeKit-Framework eines Users ausnutzen. Apple implementiert serverseitig einen temporären Fix, der jedoch Funktionen von HomeKit einschränkt.

Ein Schwachstelle in Apple HomeKit, die mit iOS 11.2 eingeführt wurde, erlaubt es, auch ohne Eingabe von Anmeldedaten mit dem Smart-Home-Dienst verbundene Geräte wie intelligente Türschlösser zu kontrollieren. Wie 9to5Mac berichtet, hat Apple bereits einen vorläufigen Fix eingespielt, der serverseitig nicht autorisierte Zugriffe verhindert. Allerdings schränkt er auch einige legitime Funktionen.

HomeKit (Bild: Apple)Der Fehler sei nur schwer zu reproduzieren, heißt es weiter in dem Bericht. Es sei erforderlich, dass mindestens ein iPhone oder iPad mit iOS 11.2 mit dem HomeKit-Framework beziehungsweise dem iCloud-Konto des HomeKit-Nutzers verbunden sei. Ältere Versionen von Apples Mobilbetriebssystem seien nicht betroffen.

Apple soll von dieser und weiteren Anfälligkeiten Ende Oktober erfahren haben. Nicht alle Fehler seien jedoch mit iOS 11.2 korrigiert worden. Einige Probleme habe Apple zudem serverseitig behoben, so dass Verbraucher hier nichts unternehmen müssten.

„Das HomeKit-Nutzer mit iOS 11.2 betreffende Problem wurde beseitigt“, erklärte ein Apple-Sprecher gegenüber 9to5Mac. „Der Fix deaktiviert vorübergehend den Zugriff auf gemeinsame Nutzer, der mit einem Softwareupdate Anfang kommender Woche wiederhergestellt wird.“

9to5Mac geht davon aus, dass Apple das Problem nun schneller behoben hat als ursprünglich geplant, nachdem der Blog darauf aufmerksam gemacht wurde. Zudem sei man aufgrund der Schwere der Anfälligkeit verpflichtet, Nutzer auf den Bug aufmerksam zu machen – oohne jedoch die vorliegenden technischen Details zu enthüllen.

Apple hatte iOS 11.2 Ende vergangener Woche veröffentlicht. Es war abweichend vom üblichen Zeitplan freigegeben worden, um einen Bug in iOS 11.1.2 zu beseitigen, der die Benutzeroberfläche Springboard auf iOS-Geräten bei bestimmten Benachrichtigungen zum Absturz bringt. Es brachte zudem Fixes für die träge Tasteneingabe des Taschenrechners, die noch immer auftretenden Schwierigkeiten beim Abruf von Exchange-Mails, sowie Abstürze von Kalender.

Die HomeKit-Lücke dürfte die Diskussion um die Qualität von Apples Software verschärfen. Innerhalb weniger Tage musste das Unternehmen einräumen, dass sich das Admin-Konto von macOS High Sierra 10.13.1 durch eingeben der Nutzer-ID „root“ ohne Passwort aktivieren lässt, und dass ein dafür entwickelter Patch durch das Update auf High Sierra 10.13.2. wieder rückgängig gemacht wird. Auch der Datums-Bug in iOS, der iPhones unter Umständen unbrauchbar machte, trug nicht dazu bei, das angekratzte Vertrauen wiederherzustellen.

HIGHLIGHT

Report: Entwicklung der Cloud-Nutzung

McAfee befragte im Rahmen der jährlichen Forschungsstudie zur Cloud-Sicherheit und der Migration zur Cloud mehr als 1.400 IT-Experten. Dieser Bericht zeigt den Stand der Dinge bei Cloud-Sicherheit auf und bietet praktische Hinweise. Jetzt herunterladen!

Tipp: Wie gut kennen Sie Apple? Überprüfen Sie Ihr Wissen – mit 15 Fragen auf silicon.de.

Themenseiten: Apple, Smart Home, iOS, iPad, iPhone

Fanden Sie diesen Artikel nützlich?
Content Loading ...
Whitepaper

ZDNet für mobile Geräte
ZDNet-App für Android herunterladen ZDNet-App für iOS

Artikel empfehlen:

Neueste Kommentare 

Noch keine Kommentare zu Zero-Day-Lücke in iOS HomeKit erlaubt Remote-Zugriff IoT-Geräte

Kommentar hinzufügen

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind markiert *