HomeKit-Fehler kann gravierende Folgen haben

Wer HomeKit im Einsatz hat, der sollte derzeit vorsichtig sein. Ein Bug kann nämlich dazu führen, dass das iPhone beziehungsweise das iPad vollständig lahmgelegt wird. Selbst ein Neustart bringt nichts, herausgefunden wurde der Fehler von einem Sicherheitsforscher. Dieser hat den Bug selbstverständlich an Apple gemeldet (im August 2021) und er bekam daraufhin die Antwort, dass ein entsprechendes Sicherheitsupdate noch Ende 2021 erscheint. Das hätte gepasst, denn mit 1. Januar 2022 hat Trevor Spiniolas (der Sicherheitsforscher) die Details dazu veröffentlicht. Es traf allerdings noch eine zweite Antwort mit dem Inhalt ein, dass das Ganze erst Anfang 2022 gefixt wird. Somit ist der Fehler noch offen, betroffen sind mindestens die iOS-Versionen ab 14.7.

Nutzer müssen aus diesem Grund zwar nicht auf HomeKit verzichten, es ist jedoch Vorsicht geboten. Manchen würde es auch sehr schwerfallen, denn das Smart Home aus dem Hause Apple ist beliebt und mit sehr vielen Geräten kompatibel. Damit ist unter anderem das Thermostat Elgato Eve ab 93,87 € gemeint.

Um diesen Bug handelt es sich

Der Sicherheitsforscher hat dem Fehler den Namen „doorLock“ (also „Türschloss“) verpasst. Der Auslöser des Bugs ist, wenn ein HomeKit-Gerät unbenannt und der neue Name eine sehr lange Zeichenkette beinhaltet. Trevor Spiniolas verwendete in seinem Test 500.000 Zeichen. Hat ein HomeKit-Gerät einen solchen Namen und lädt iOS dieses, dann legt sich das iPhone oder das iPad vollständig lahm.

Wie auch schon oben erwähnt, hilft in diesem Fall kein Neustart. Die Lösung ist stattdessen eine Wiederherstellung, wobei die Nutzung der genutzten Apple-ID tabu ist. Meldet man sich nämlich erneut damit an, dann werden auch wieder die HomeKit-Daten und damit der Bug geladen. Die Einrichtung muss also unbedingt mit einer anderen Apple-ID erfolgen. Des Weiteren muss für die Verwendung des alten Apple-Kontos unverzüglich in den iCloud-Einstellungen die Home-Funktion abgeschaltet werden. Der Sicherheitsforscher rät zudem im Kontrollzentrum die Kurzbefehle (die zu den Smarthome-Geräten gehören) abzuschalten.

Das Problem mit den HomeKit-Einladungen

Wie viele wissen werden, kann man andere Nutzer in sein Smarthome einladen. Diese eigentlich positive Eigenschaft hat in diesem Fall einen Nachteil, denn Angreifer können dies ohne Weiteres ausnutzen. Betroffen sind vor allem Nutzer, die nicht so genau hinschauen und den Bug nicht kennen. Es reicht nämlich schon aus, dass ein Gerät mit so vielen Zeichen (wie oben beschrieben) vorhanden ist. Theoretisch könnten auch installierte Apps diesen Fehler ausnutzen.

Eine weitere Gefahrenquelle stellen Mails beziehungsweise das Öffnen der eingebauten Links dar. Hier sollte man sich von Anfang an die Frage stellen, ob eine HomeKit-Einladung überhaupt erwartet wird. Auch bei legitimen Apple-Diensten ist diese Vorgehensweise ratsam.

Bislang ist der Fehler nur teilweise behoben

Apple hat die Möglichkeit der Vergabe von sehr langen Namen von HomeKit-Geräten blockiert. Damit wäre theoretisch auch der Bug behoben, jedoch trifft dies nur auf iOS 15 (es kann auch iOS 15.1 sein, denn so genau weiß man es nicht) zu. Das heißt, mit einer älteren Version von iOS ist eine Namensänderung dieser Art noch problemlos möglich. Und wenn es dazu kommt, dann schützt auch iOS 15 nicht davor. Apple muss also auf jeden Fall noch nachbessern. Seit 1. Januar 2022 ist die Dringlichkeit noch höher, da der Fehler nun öffentlich ist.

-----
Willst du keine News mehr verpassen? Dann folge uns auf Twitter oder werde Fan auf Facebook. Du kannst natürlich in Ergänzung unsere iPhone und iPad-App mit Push-Benachrichtigungen hier kostenlos laden.

Oder willst du mit Gleichgesinnten über die neuesten Produkte diskutieren? Dann besuch unser Forum!