zurück zum Artikel

Apples HomeKit: Schwachstelle erlaubte angeblich unerlaubten Fernzugriff

Leo Becker
HomeKit

Die Steuerung der HomeKit-Geräte ist mit Apples vorinstallierter Home-App möglich – und per Siri. Für Automatisierung und Fernzugriff erfordern einen Home-Hub wie Apple TV.

(Bild: Apple)

Mit Apples HomeKit vernetzte Smart-Home-Geräte – darunter auch Türschlösser – ließen sich einem Bericht zufolge von Unbefugten fernsteuern. Als Gegenmaßnahme hat Apple die Remote-Funktionalität für (berechtigte) Dritte abgedreht.

Eine gravierende Sicherheitslücke in Apples Heimvernetzungsprotokoll HomeKit gab einem Angreifer die Kontrolle über Smart-Home-Geräte des Nutzers. Die Schwachstelle habe eine unbefugte Steuerung HomeKit-kompatibler Geräte ermöglicht, wie 9to5Mac berichtet [1], man habe eine Demonstration des Fremdzugriffs auf Türschlösser erhalten.

Das Problem liege nicht in der Hardware der Dritt-Hersteller, sondern in Apples HomeKit-Protokoll – es sei schwierig zu reproduzieren und setze voraus, dass der Hausbesitzer mindestens ein Gerät mit iOS 11.2 [2]verwendet. Die Schwachstelle wurde an Apple gemeldet, weitere Details sind bislang nicht bekannt.

Apple schließt Lücke – und sperrt Familienmitglieder aus

Trotz Freigabe können Dritte HomeKit-Geräte derzeit unterwegs nicht mehr steuern.

Trotz Freigabe können Dritte HomeKit-Geräte derzeit unterwegs nicht mehr steuern.

Als unmittelbare Gegenmaßnahme hat Apple den HomeKit-Fernzugriff für autorisierte Dritte generell abgedreht – die Schwachstelle sei damit behoben, teilte das Unternehmen gegenüber 9to5Mac mit.

Das bedeutet allerdings zugleich, dass Familienmitglieder mit HomeKit-Freigabe die vernetzten Heimgeräte nicht mehr von unterwegs aus einsehen und steuern können. Diese wichtige Funktionalität solle mit einem weiteren Software-Update am Anfang kommender Woche wiederhergestellt werden.

Weitere HomeKit-Schwachstellen angeblich ausgeräumt

Die Schwachstelle gehört dem Bericht zufolge zu einer Reihe an sicherheitsrelevanten Bugs in HomeKit, die bereits Ende Oktober an den Hersteller gemeldet wurden – und die Apple in Teilen angeblich schon mit iOS 11.2 und watchOS 4.2 ausgeräumt hat. Die Angaben des Unternehmens zu beseitigten Schwachstellen in den jüngsten Betriebssystemversionen führen bislang keine Informationen zu derartigen HomeKit-Lücken auf.

Apple stellt den Sicherheitsaspekt von HomeKit besonders in den Vordergrund: Jeder Hersteller muss sein HomeKit-kompatibles Produkt durch Apple zertifizieren lassen, die Fernsteuerung von HomeKit-Geräten erfolgt zentral über iCloud: Die Remote-Funktionalität setzt einen Apple TV oder ein iPad als Home-Hub respektive Steuerzentrale im heimischen WLAN voraus, künftig kann auch der Lautsprecher HomePod diese Funktionalität übernehmen.

[Update 8.12.2017 14:20 Uhr] Nach einem Bericht [3] des Guardian muss der Angreifer eine mit der Apple-ID des Hausbesitzers verknüpfte E-Mail-Adresse kennen, um die Schwachstelle ausnutzen zu können. (lbe [4])

URL dieses Artikels:
https://www.heise.de/-3913752

Links in diesem Artikel:
[1] https://9to5mac.com/2017/12/07/homekit-vulnerability/
[2] https://www.heise.de/news/iPhones-stuerzen-ab-iOS-11-2-soll-helfen-3907078.html
[3] https://www.theguardian.com/technology/2017/dec/08/apple-fixes-homekit-bug-remote-unlocking-doors-security-flaw-iphone-ipad-ios-112-smart-lock-home
[4] mailto:lbe@heise.de

Copyright © 2017 Heise Medien