HomeKit weist eine (theoretische) Sicherheitslücke namens „doorLock“ auf

Hallo und herzlich willkommen zu einem neuen Beitrag auf meinem Blog,

Das vergangene Jahr war für Apple nicht einfach, dies betrifft auch die Sicherheit seiner Systeme. Vor allem die Spionage-Software Pegasus erwies sich als echter Albtraum und nun gibt es zum Jahresstart 2022 eine neue Sicherheitslücke. Die ist aber weit weniger gravierend, weil extrem theoretisch. Doch was ist damit gemeint?

Namen für HomeKit-Zubehör dürfen 500.000 Zeichen nicht überschreiten

Der Sicherheitsforscher Trevor Spinioals entdeckte in HomeKit eine Sicherheitslücke, die ein iPhone oder iPad zum Abstürzen bringen kann und meldete dies bereits im August 2021 an Apple. Bisher habe der iPhone-Konzern aber nicht reagiert, selbst unter iOS 15.2 lässt sich diese Lücke noch ausnutzen. Was auf den ersten Blick verantwortungslos aussieht, hat aber einen simplen Grund.

Die auf den Namen „doorLock“ getaufte Sicherheitslücke ist so abwegig, dass sie in der Praxis kaum eingesetzt bzw. ausgenutzt werden dürfte. Laut seinem eigenen Blog läuft das Ausnutzen der Schwachstelle wie folgt ab: Ist ein HomeKit mit einer Zeichenfolge von über 500.000 Zeichen versehen und wird dann in der Home-App von einem iPhone oder einem iPad mit der gleichen Apple-ID geladen, so werden diese Geräte unbrauchbar. Auch ein Reboot schafft keine Abhilfe. Einzig und alleine ein Werksreset inklusive kompletter Neueinrichtung schafft Abhilfe – allerdings sollte sich der Nutzer dann nicht einfach in der iCloud anmelden. Sonst beginnt das Spiel von vorne.

Sicherheitslücke ist eher theoretischer Natur

ich will diese Sicherheitslücke keinesfalls kleinreden oder als lästig ablegen. Ganz im Gegenteil. Apps mit Zugriff auf HomeKit-Daten des Anwenders seien so in der Lage, Geräte lahmzulegen und die Zeichenkette erst nach Zahlung eines Lösegelds zu ändern. Ein Zugriff ist allerdings erst dann möglich, wenn ein der Name eines in HomeKit eingebundenen Zubehörs länger als 500.000 Zeichen ist und genau hier setze ich an. Niemand dürfte so einen langen Namen in HomeKit für eine Steckdose oder Sonstiges vergeben und deshalb erachte ich diese Sicherheitslücke eher als theoretische Möglichkeit.

Wie siehst Du das? Bist Du ob dieser „Sicherheitslücke“ besorgt? Schreibt mir Euer Feedback in die nachfolgenden Kommentare

Macht´s gut und bis zum nächsten Mal hier auf dem appletechnikblog, Euer Patrick a.k.a. Meister des Apfels

Einmalig
Monatlich
Jährlich

Spendiere mir einen Kaffee und unterstütze damit meinen Blog und mich bei der Arbeit

Monatlich spenden

Jährlich spenden

Wähle einen Betrag aus

€5,00
€15,00
€100,00
€5,00
€15,00
€100,00
€5,00
€15,00
€100,00

Oder gib einen individuellen Betrag ein


Wir wissen deine Spende sehr zu schätzen.

Wir wissen deine Spende sehr zu schätzen.

Wir wissen deine Spende sehr zu schätzen.

SpendenMonatlich spendenJährlich spenden

Kommentar verfassen

Betrieben von WordPress | Theme: Baskerville 2 von Anders Noren.

Nach oben ↑

appletechnikblog
%d Bloggern gefällt das: