HomeKit- und iOS-Schwachstelle:
Lange Namen können gefährlich sein
Sicherheitsforscher warnen vor einer Sicherheitslücke in iOS, die HomeKit als Angriffsvektor nutzt. Gemeldet wurde die Schwachstelle schon vor Monaten - aber Apple hat bislang noch nichts für eine komplette Absicherung seiner Nutzer getan.
Daher sind die Entdecker der Sicherheitslücke jetzt an die Öffentlichkeit herangetreten und erklären, mit welchem Trick Angreifer auf iOS-Geräte zugreifen können (via AppleInsider). Der Fehler steckt dabei in der Smart-Home-Plattform von Apple. Laut den Sicherheitsforschern wird dabei mit einem sehr langen Gerätenamen getrickst. HomeKit hat Schwierigkeiten, die Zeichenfolge zu verarbeiten, wodurch die ausführenden Geräte - zum Beispiel ein iPad oder iPhone - neu gestartet werden.
Laut dem Sicherheitsforscher Trevor Spiniolas können iOS- und iPadOS-Geräte, die diese Zeichenfolge laden, dadurch unbrauchbar gemacht werden, wenn ein HomeKit-Gerätename in eine "sehr lange Zeichenfolge" geändert wird. Bei seinen Tests nutzte er Namen mit 500.000 Zeichen. Da der Name in iCloud gespeichert wird und auf allen anderen iOS-Geräten, die mit demselben Konto angemeldet sind, aktualisiert wird, kann der Fehler außerdem wiederholt auftreten.
Spiniolas hat den Fehler "doorLock" genannt und behauptet, er betreffe alle iOS-Versionen ab iOS 14.7 im Test, obwohl er wahrscheinlich auch auf allen früheren iOS 14-Versionen vorhanden ist.
"Ich glaube, dass dieser Fehler unangemessen behandelt wird, da er ein ernsthaftes Risiko für die Nutzer darstellt und viele Monate ohne eine umfassende Lösung vergangen sind", schreibt der Forscher. "Die Öffentlichkeit sollte über diese Schwachstelle Bescheid wissen und wissen, wie man verhindern kann, dass sie ausgenutzt wird, anstatt im Dunkeln gelassen zu werden." Apple soll eine Fehlerbehebung geplant haben, hat aber bisher kein Update veröffentlicht.
Laut dem Sicherheitsforscher Trevor Spiniolas können iOS- und iPadOS-Geräte, die diese Zeichenfolge laden, dadurch unbrauchbar gemacht werden, wenn ein HomeKit-Gerätename in eine "sehr lange Zeichenfolge" geändert wird. Bei seinen Tests nutzte er Namen mit 500.000 Zeichen. Da der Name in iCloud gespeichert wird und auf allen anderen iOS-Geräten, die mit demselben Konto angemeldet sind, aktualisiert wird, kann der Fehler außerdem wiederholt auftreten.
Spiniolas hat den Fehler "doorLock" genannt und behauptet, er betreffe alle iOS-Versionen ab iOS 14.7 im Test, obwohl er wahrscheinlich auch auf allen früheren iOS 14-Versionen vorhanden ist.
Einfallstor über alle iOS 14-Geräte
Bereits im August 2021 hatte er seine Erkenntnisse dazu an Apple gesendet. Seit dem Update auf iOS 15 oder neuer ist die Länge eines Namens, den eine App oder ein Benutzer festlegen kann, übrigens begrenzt. Allerdings sind damit nicht automatisch alle Nutzer von iOS 15 sicher. Wenn der Fehler auf einer iOS-Version ohne das Zeichen-Limit ausgelöst wird und HomeKit-Daten geteilt werden, sind alle Geräte, mit denen die Daten geteilt werden, ebenfalls betroffen, unabhängig von der OS-Version."Ich glaube, dass dieser Fehler unangemessen behandelt wird, da er ein ernsthaftes Risiko für die Nutzer darstellt und viele Monate ohne eine umfassende Lösung vergangen sind", schreibt der Forscher. "Die Öffentlichkeit sollte über diese Schwachstelle Bescheid wissen und wissen, wie man verhindern kann, dass sie ausgenutzt wird, anstatt im Dunkeln gelassen zu werden." Apple soll eine Fehlerbehebung geplant haben, hat aber bisher kein Update veröffentlicht.
Thema:
Beliebt im Preisvergleich
- Handys ohne Vertrag:
Videos zum Thema iOS
Beiträge im Forum
Weiterführende Links
Neue Nachrichten
- IBM-Aktie stürzt ab und reißt den ganzen Markt mit sich in die Tiefe
- Die Milchstraße ist süß: Astronomen finden Zucker im Weltraum
- Firefox-Updates: Mozilla verkürzt den Release-Zyklus drastisch
- Kursrutsch geht weiter: Elon Musks SpaceX nähert sich dem IPO-Preis
- Warner Bros. und Paramount: US-Staaten klagen gegen Mega-Fusion
- E-Auto-Flaute: Porsche vermisst plötzlich den Verbrenner-Macan
- Tyrannosaurus Rex Gus: Private Versteigerung bedroht die Wissenschaft
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Alle Kommentare zu dieser News anzeigen