HomeKit-Bug lässt iPhones abstürzen

Stefan Beiersmann,
Apple HomeKit (Bild: Apple)

Betroffen sind mindestens iOS 14.7 bis iOS 15.2. Ein speziell gestalteter Name eines HomeKit-Geräts wird iPhones und iPads zum Verhängnis. Apple kündigt ein Update für Anfang 2022 an.

Der Sicherheitsforscher Trevor Spiniolas hat eine schwerwiegende Anfälligkeit in iOS 15.2 öffentlich gemacht. Sie kann zu einem Absturz eines iPhone oder auch iPad führen, der sich nur durch das Zurücksetzen des Geräts beheben lässt – wodurch unter Umständen der Fehler sogar erneut ausgelöst wird.

Ausgelöst wird das Problem durch einen speziell gestalteten Namen eines HomeKit-Geräts. Spiniolas nutzte für seinen Test einen Namen mit 500.000 Zeichen. Da die Namen von verbundenen HomeKit-Geräten auch in iCloud gespeichert werden, treffen Nutzer bei beim Zurücksetzen ihrer abstürzten Geräte erneut auf das Problem: sobald iCloud den speziell gestalteten Namen wiederherstellt, stürzt das Gerät erneut ab, was erneut das Wiederherstellen der Werkseinstellungen erforderlich macht.

“Dieser Fehler stellt ein erhebliches Risiko für die Daten von iOS-Nutzern dar, aber die Öffentlichkeit kann sich vor den schlimmsten Auswirkungen schützen, indem sie Home-Geräte im Kontrollzentrum deaktiviert, um lokale Daten zu schützen”, schreibt der Forscher in seinem Blog.

Apple wurde von Spiniolas bereits am 10. August über die Schwachstelle informiert. Das Unternehmen habe ich einen Fix noch im Jahr 2021 zugesagt. Erst am 10. Dezember sei er erneut von Apple kontaktiert worden mit dem Hinweis, dass ein Update erst Anfang 2022 erscheine. Darauf hin habe er Anfang Januar entschieden, den Fehler öffentlich zu machen. “Die Öffentlichkeit sollte über diese Schwachstelle Bescheid wissen und wissen, wie man verhindern kann, dass sie ausgenutzt wird.”

Nutzern, die von dem Bug betroffen sind, rät Spiniolas, ihr Gerät über den DFU-Modus oder den Recovery-Modus wiederherzustellen. Zudem sollen sie bei der Ersteinrichtung auf eine Anmeldung bei ihrem iCloud-Konto verzichten. Dieser Schritt darf demnach erst nach Abschluss der Einrichtung nachgeholt werden, um dann sofort in den Einstellungen den Schalter für “Home” zu deaktivieren. Allerdings müssen Nutzer dann auf den Zugriff auf ihre Home-Daten verzichten, zumindest solange dort der überlange Gerätename hinterlegt ist.

Unklar ist, wann Apple ein Update für die Schwachstelle bereitstellen wird. Dem Forscher zufolge ist auch iOS 14.7 anfällig. Er vermutet sogar, dass alle Versionen von iOS 14 betroffen sind.