ifun.de — Apple News seit 2001. 36 760 Artikel

Entdecker gibt Details preis

Apples HomeKit-Schwachstelle war 6 Wochen lang bekannt

Artikel auf Mastodon teilen.
 23 Kommentare 23

Ihr erinnert euch an die vor zwei Wochen entdeckte und mittlerweile gestopfte HomeKit-Sicherheitslücke. Nachdem Apple den Fehler behoben hat, plaudert der für die Entdeckung der Schwachstelle verantwortliche Entwickler Khaos Tian über die Details. Sein Fazit: Apple hat eine supersichere Tür gebaut, allerdings den Schlüssel stecken lassen und vergessen, die zugehörige Wand zu bauen.

Tian zufolge waren Fehler in iOS und watchOS dafür verantwortlich, dass unbefugte Nutzer Steuerbefehle an HomeKit-Komponenten senden konnten. Apples Heimautomtisierungssystem hat die Befehle angenommen, ohne sich zu vergewissern, dass diese von einem legitimen Absender stammen.

Apple Homekit Geraete

Konkret täuschte der Entwickler den HomeKit-Geräten offenbar vor, dass die Steuerbefehle von einer anderen HomeKit-Komponente kommen. Apple hatte nicht ausreichend dafür gesorgt, dass Unbefugte Kenntnis der dafür nötigen Absender-Identifikationscodes erlangen. Mithilfe dieser war es dann möglich, die falschen Steuerbefehle an das System zu senden.

Apple macht es noch schlimmer

Besonders peinlich für Apple ist die Aussage des Entwicklers, dass er die Verantwortlichen bereits im Oktober auf den Sachverhalt hingewiesen hat. In der Folge seien von Apple mit iOS 11.2 zwar kleinere Verbesserungen implementiert worden, dies begleitend aber auch eine neue Schwachstelle, mit deren Hilfe entsprechende Angriffe deutlich vereinfacht wurden. Tian ging dann Anfang Dezember an die Öffentlichkeit, um Apple Feuer unter dem Hintern zu machen. Die Strategie ging auf und Apple war daraufhin innerhalb von 48 Stunden mit einer Notlösung und nur wenige Tage später mit einem fehlerbehebenden Update zur Stelle.

Bemerkenswert: Apple hatte während der gesamten Zeit nach der Meldung des Fehlers auf eine Kommunikation mit Khaos Tian verzichtet. Auf seine gestrige Veröffentlichung zu den Hintergründen erhielt er allerdings in kürzester Zeit Feedback und musste diese im Nachhinein überarbeiten: „Some information were removed from this post per the request of Apple Product Security“.

Dieser Artikel enthält Affiliate-Links. Wer darüber einkauft unterstützt uns mit einem Teil des unveränderten Kaufpreises. Was ist das?
20. Dez 2017 um 10:31 Uhr von Chris Fehler gefunden?


    Zum Absenden des Formulars muss Google reCAPTCHA geladen werden.
    Google reCAPTCHA Datenschutzerklärung

    Google reCAPTCHA laden
    23 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
    Abonnieren
    Benachrichtige mich bei
    23 Comments
    Älteste Kommentare
    Neuste Kommentare Meiste Stimmen
    Inline Feedbacks
    View all comments
    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 36760 Artikel in den vergangenen 8003 Tagen veröffentlicht. Und es werden täglich mehr.     ifun.de — Love it or leave it   ·   Copyright © 2023 aketo GmbH   ·   Impressum   ·   Cookie Einstellungen   ·   Datenschutz   ·   Safari-Push aketo GmbH Powered by SysEleven