Eine Apple HomeKit-Schwachstelle kann dazu führen, dass iPhones endlos neu gestartet werden. Dieses Problem betrifft eine Vielzahl von iOS-Versionen – aber Apple bleibt untätig.
Apple HomeKit ist ein Software-Framework, mit dem iPhone- und iPad-Nutzer smarte Haushaltsgeräte über ihre iOS-Geräte steuern können. Die neu entdeckte Sicherheitslücke kann durch das Erstellen eines HomeKit-Geräts mit einem sehr langen Namen ausgelöst werden.
Wenn ein ahnungsloser Nutzer einem Einladungslink zu einem HomeKit-Gerät mit einem 500.000 Zeichen langen Namen akzeptiert, stürzt iOS ab und startet unendlich oft neu. Denn beim Versuch, die große Zeichenfolge zu laden, wird ein Gerät mit einer anfälligen iOS-Version in einen Denial-of-Service-Zustand (DoS) versetzt, aus dem nur ein erzwungener Reset herausführt. Das Zurücksetzen des Geräts führt jedoch dazu, dass alle gespeicherten Daten gelöscht werden und nur wiederhergestellt werden können, wenn ein Backup vorhanden ist. Nach dem Neustart und der Anmeldung des Benutzers bei dem mit dem HomeKit-Gerät verbundenen iCloud-Konto wird der Fehler erneut ausgelöst.
Der Sicherheitsforscher Trevor Spiniola hatte den Exploit gefunden und auch Apple informiert. Es ist allerdings unklar, wann das Unternehmen diesen kritischen Fehler beheben wird. Denn laut Spiniolas ist Apple die Schwachstelle seit dem 10. August 2021 bekannt. Doch trotz der wiederholten Beteuerungen, die Schwachstelle zu beheben, hat Apple dem Forscher zufolge die Sicherheitsaktualisierung immer weiter verschoben, und die Schwachstelle bleibt ungelöst.