iOS-Schwachstellen: Schwere Vorwürfe an Apples Security-Team
Apple habe mit HomeKit eine “supersichere Tür gebaut”, aber den Schlüssel steckenlassen und die Mauer vergessen, so ein Entwickler. Bis von ihm gemeldete Sicherheitslücken ausgeräumt waren, seien viele Wochen vergangen.
(Bild: dpa, Maja Hitij)
- Leo Becker
Der Entwickler Khaos Tian hat neue Details zu den schweren Sicherheitslücken in Apples HomeKit genannt, die Mitte Dezember mit iOS 11.2.1 ausgeräumt worden waren: Das Heimvernetzungsprotokoll habe den Sender von Steuerungsnachrichten nämlich nicht richtig überprüft – und somit praktisch jedem die Möglichkeit eingeräumt, HomeKit-Geräte unerlaubt fernzusteuern, führt der Entwickler aus. Diese Lücke wurde erst mit iOS 11.2.1 komplett geschlossen.
HomeKit überprüfte Absender von Steuerungsnachrichten nicht
Durch Bugs in watchOS 4 bis 4.2 sowie in iOS 11.2 ist es einem unbefugten Angreifer offenbar möglich, die eindeutigen Identifier herauszufinden, die für die Fernbedienung von HomeKit-Geräten (sowie ganzen Räumen und Szenen) erforderlich sind. Wer in Besitz dieser eindeutigen Identifier gelangt, könne HomeKit zu “fast allem” bringen, betont der Entwickler.
Auf eine bestimmte Nachricht hin habe watchOS 4 und 4.1 einem Unbefugten einfach eine Liste mit Home-Identifiern geliefert – mitsamt der öffentlichen und privaten Schlüssel, die für die Verschlüsselung der Kommunikation zwischen Accessoire und Sender zum Einsatz kommen, schreibt Khaos Tian. Der Angreifer habe das vernetzte Haus auf diese Weise komplett übernehmen können.
(Bild: Khaos Tian)
Durch einen mit iOS 11.2 (und watchOS 4.2) neu eingeführten Bug habe HomeKit einem Angreifer immer noch “sensitive Informationen” geliefert, die offenbar eine Fernsteuerung von bereits definierten Szenen erlaubt – etwa das Öffnen von Haustür und Garage bei der Ankunft.
Der Angriff auf HomeKit-Systeme setzt jeweils voraus, dass der Angreifer die E-Mail-Adresse respektive Apple-ID des Opfers kennt und dieses mindestens ein Gerät mit dem betroffenen Betriebssystem für die HomeKit-Steuerung einsetzt. Zudem muss HomeKit aus der Ferne erreichbar sein.
Langsame Reaktion bei Apples Sicherheitsteam
Er habe die Schwachstellen in der Home-App und dem zugehörigen Heimvernetzungssystem schon Ende Oktober an Apples Sicherheitsteam gemeldet, als Gegenmaßnahme für der erheblichen Sicherheitslücke in watchOS sei dann ein erster serverseitiger Fix Mitte November umgesetzt worden.
Das wegen eines anderen schwerwiegenden Bugs vorzeitig Anfang Dezember veröffentlichte iOS 11.2 habe es einem Angreifer plötzlich sogar leichter gemacht, das Haus eines Nutzers aus der Ferne zu übernehmen, betont der Entwickler – denn nun war auch iOS betroffen. Erst nachdem er daraufhin über US-Medien mit Apples PR-Team Verbindung aufnahm, habe das Unternehmen mit einem weiteren serverseitigen Notfall-Fix reagiert und die Lücke rund eine Woche später mit iOS 11.2.1 behoben.
Kein Wunder, dass Leute Sicherheitslücken inzwischen einfach auf Twitter veröffentlichen, schreibt Tian in Anspielung auf die schwere Root-Lücke in macOS High Sierra: Diese wurde erst auf einen Tweet hin schnell beseitigt – obwohl Apple offenbar schon eine Woche zuvor darüber in Kenntnis gesetzt wurde und die Schwachstelle bereits länger in Foren diskutiert wurde, darunter im Entwickler-Forum des Konzerns. (lbe)
