2634481

iOS 15: Bug kann iPhones unbrauchbar machen

04.01.2022 | 13:22 Uhr | Panagiotis Kolokythas

Ein Sicherheitsforscher hat einen Fehler in iOS 15.2 gemeldet, der ein iPhone auch nach einer Wiederherstellung völlig unbrauchbar machen kann. Apple ist sich des Fehlers offenbar bewusst und verspricht eine Behebung für Anfang 2022.

Trevor Spiniolas hat einen Fehler in iOS 15.2 (bis runter zu iOS 14.7) entdeckt, der über die HomeKit-API ausgenutzt werden kann. Der Sicherheitsforscher hat den Bug auf den Namen "doorLock" getauft. Ein Angreifer, der den Fehler ausnutze, würde die API verwenden, um die Namen der HomeKit-Geräte eines Benutzers in extrem lange Name zu ändern (der Testname hatte 500.000 Zeichen), der dann im zugehörigen iCloud-Konto gesichert wird. Wenn der Benutzer Home-Geräte im Kontrollzentrum aktiviert hat, reagiert anschließend das iPhone nicht mehr.

Spiniolas erklärt, dass ein Neustart oder eine Wiederherstellung des Geräts nicht hilft, solange sich der Benutzer weiterhin mit demselben iCloud-Konto anmeldet. Es gibt Umgehungsmöglichkeiten, aber die einzige Lösung wäre, die HomeKit-Geräte über die API umzubenennen.

Apple erfuhr im August 2021 von dem Bug

Laut Spiniolas, der den Fehler im August 2021 gemeldet hat, ist Apple das Problem bekannt. Er sagt, er habe Apple darüber informiert, dass er die Ergebnisse seiner Untersuchungen im Januar 2022 veröffentlichen werde und kritisiert Apples "mangelnde Transparenz", die "ein Risiko für die Millionen von Menschen darstellt, die Apple-Produkte in ihrem täglichen Leben nutzen, indem sich Apples Verantwortlichkeit in Sicherheitsfragen verringert". Er sagt, dass Apple den Bugfix, der ursprünglich im Dezember erscheinen sollte, bis Anfang 2022 verschoben hat.

Auch wenn es wie ein weit hergeholter Fall erscheinen mag, warnt Spiniolas, dass das Problem die Möglichkeit von Ransomware aufwirft. Zusätzlich zum Ändern der Namen der HomeKit-Geräte eines Nutzers zeichnet er ein Szenario, in dem ein Angreifer "auch Einladungen zu Home mit den bösartigen Daten an Nutzer mit einer der beschriebenen iOS-Versionen senden könnte, selbst wenn sie kein HomeKit-Gerät haben".

Er behauptet, dass ein Angreifer "E-Mail-Adressen verwenden könnte, die Apple-Diensten oder HomeKit-Produkten ähneln, um technisch weniger versierte (oder sogar neugierige) Nutzer dazu zu bringen, die Einladung zu akzeptieren und dann eine Zahlung per E-Mail als Gegenleistung für die Behebung des Problems zu verlangen."

So lässt sich Problem lösen, bis Apple nachbessert

Spiniolas beschreibt, wie man das Problem beheben kann, indem man das iPhone wiederherstellt, ohne sich mit demselben iCloud-Account anzumelden, und sich dann nach der Einrichtung anmeldet und den "Home"-Schalter sofort deaktiviert. Er empfiehlt außerdem, Home-Verknüpfungen aus dem Kontrollzentrum zu entfernen.

Macwelt Marktplatz

2634481