HomeKit-Bug lässt iPhones abstürzen

Der Sicherheitsforscher Trevor Spiniolas hat eine schwerwiegende Anfälligkeit in iOS 15.2 öffentlich gemacht. Sie kann zu einem Absturz eines iPhone oder auch iPad führen, der sich nur durch das Zurücksetzen des Geräts beheben lässt – wodurch unter Umständen der Fehler sogar erneut ausgelöst wird.

Ausgelöst wird das Problem durch einen speziell gestalteten Namen eines HomeKit-Geräts. Spiniolas nutzte für seinen Test einen Namen mit 500.000 Zeichen. Da die Namen von verbundenen HomeKit-Geräten auch in iCloud gespeichert werden, treffen Nutzer bei beim Zurücksetzen ihrer abstürzten Geräte erneut auf das Problem: sobald iCloud den speziell gestalteten Namen wiederherstellt, stürzt das Gerät erneut ab, was erneut das Wiederherstellen der Werkseinstellungen erforderlich macht.

“Dieser Fehler stellt ein erhebliches Risiko für die Daten von iOS-Nutzern dar, aber die Öffentlichkeit kann sich vor den schlimmsten Auswirkungen schützen, indem sie Home-Geräte im Kontrollzentrum deaktiviert, um lokale Daten zu schützen”, schreibt der Forscher in seinem Blog.

Apple wurde von Spiniolas bereits am 10. August über die Schwachstelle informiert. Das Unternehmen habe ich einen Fix noch im Jahr 2021 zugesagt. Erst am 10. Dezember sei er erneut von Apple kontaktiert worden mit dem Hinweis, dass ein Update erst Anfang 2022 erscheine. Darauf hin habe er Anfang Januar entschieden, den Fehler öffentlich zu machen. “Die Öffentlichkeit sollte über diese Schwachstelle Bescheid wissen und wissen, wie man verhindern kann, dass sie ausgenutzt wird.”

Nutzern, die von dem Bug betroffen sind, rät Spiniolas, ihr Gerät über den DFU-Modus oder den Recovery-Modus wiederherzustellen. Zudem sollen sie bei der Ersteinrichtung auf eine Anmeldung bei ihrem iCloud-Konto verzichten. Dieser Schritt darf demnach erst nach Abschluss der Einrichtung nachgeholt werden, um dann sofort in den Einstellungen den Schalter für “Home” zu deaktivieren. Allerdings müssen Nutzer dann auf den Zugriff auf ihre Home-Daten verzichten, zumindest solange dort der überlange Gerätename hinterlegt ist.

Unklar ist, wann Apple ein Update für die Schwachstelle bereitstellen wird. Dem Forscher zufolge ist auch iOS 14.7 anfällig. Er vermutet sogar, dass alle Versionen von iOS 14 betroffen sind.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die Redaktionen von Silicon.de und ZDNet.de. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Backup-Lücken in der Cloud

Für Backup und Recovery ihrer Daten sind SaaS-Anwenderunternehmen selbst verantwortlich. Verlassen sie sich nur auf…

6 Stunden ago

Wie gut ist Deutschland gegen Cyberangriffe gerüstet?

Potsdamer Konferenz für Nationale CyberSicherheit 2022 des Hasso-Plattner-Instituts.

6 Stunden ago

Prävention von Post-Quantum-Cyber-Attacken

BlackBerry unterstützt quantenresistente sichere Boot-Signaturen für die kryptoagilen S32G-Fahrzeugnetzwerkprozessoren von NXP Semiconductors.

7 Stunden ago

BSI veröffentlich Whitepaper zur Prüfbarkeit von KI-Systemen

Methode zur Erfassung der Prüfbarkeit der IT-Sicherheit von KI-Systemen.

12 Stunden ago

Blick in die Blackbox: Transparente Künstliche Intelligenz

Funktionsweisen von KI-Anwendungen für Autonomen Fahren oder in der Industrie 4.0 müssen transparent und nachvollziehbar…

14 Stunden ago

Silicon Security Day: Künstliche Intelligenz in der Cyber-Security

Cyberangreifer setzen zunehmend KI als Waffe ein, um ihre Angriffe noch zielführender zu starten –…

3 Tagen ago