ifun.de — Apple News seit 2001. 24 451 Artikel
Entdecker gibt Details preis

Apples HomeKit-Schwachstelle war 6 Wochen lang bekannt

Artikel auf Google Plus teilen.
23 Kommentare 23

Ihr erinnert euch an die vor zwei Wochen entdeckte und mittlerweile gestopfte HomeKit-Sicherheitslücke. Nachdem Apple den Fehler behoben hat, plaudert der für die Entdeckung der Schwachstelle verantwortliche Entwickler Khaos Tian über die Details. Sein Fazit: Apple hat eine supersichere Tür gebaut, allerdings den Schlüssel stecken lassen und vergessen, die zugehörige Wand zu bauen.

Tian zufolge waren Fehler in iOS und watchOS dafür verantwortlich, dass unbefugte Nutzer Steuerbefehle an HomeKit-Komponenten senden konnten. Apples Heimautomtisierungssystem hat die Befehle angenommen, ohne sich zu vergewissern, dass diese von einem legitimen Absender stammen.

Apple Homekit Geraete

Konkret täuschte der Entwickler den HomeKit-Geräten offenbar vor, dass die Steuerbefehle von einer anderen HomeKit-Komponente kommen. Apple hatte nicht ausreichend dafür gesorgt, dass Unbefugte Kenntnis der dafür nötigen Absender-Identifikationscodes erlangen. Mithilfe dieser war es dann möglich, die falschen Steuerbefehle an das System zu senden.

Apple macht es noch schlimmer

Besonders peinlich für Apple ist die Aussage des Entwicklers, dass er die Verantwortlichen bereits im Oktober auf den Sachverhalt hingewiesen hat. In der Folge seien von Apple mit iOS 11.2 zwar kleinere Verbesserungen implementiert worden, dies begleitend aber auch eine neue Schwachstelle, mit deren Hilfe entsprechende Angriffe deutlich vereinfacht wurden. Tian ging dann Anfang Dezember an die Öffentlichkeit, um Apple Feuer unter dem Hintern zu machen. Die Strategie ging auf und Apple war daraufhin innerhalb von 48 Stunden mit einer Notlösung und nur wenige Tage später mit einem fehlerbehebenden Update zur Stelle.

Bemerkenswert: Apple hatte während der gesamten Zeit nach der Meldung des Fehlers auf eine Kommunikation mit Khaos Tian verzichtet. Auf seine gestrige Veröffentlichung zu den Hintergründen erhielt er allerdings in kürzester Zeit Feedback und musste diese im Nachhinein überarbeiten: „Some information were removed from this post per the request of Apple Product Security“.

Mittwoch, 20. Dez 2017, 10:31 Uhr — Chris
23 Kommentare bisher. Dieser Unterhaltung fehlt Deine Stimme.
Rede mit!
  • Sorry, aber Apple nervt nur noch. Arrogant, Überheblich, Ignorant. Ja, niemand ist fehlerlos, aber die Art und Weise wie sie vorgehen ist einfach nur peinlich. Jeden Tag eine neue niederschmetternde Botschaft für den Kunden. Positives zu den Geräten hört und liest man sehr sehr wenig.

    • Das ist kein Apple Problem. Microsoft und Google zögern in der Regel auch erstmal bis zum Patch. Entweder gibt es bei anderen kein Update oder Updates (aktuelles Arbeitsproblem) die mal das ganze OS zerstören (damit auch die komplette eingerichtete Arbeitsumgebung). Dann lieber ein arrogantes, überhebliches arrogantes Unternehmen mit ständigen Softwareupdates. Wenn du nur nach das liest enpfehle ich mal die Quellen zu wechseln. Und ja, ich weiß das du das wieder nicht einsiehst und von anderen überhaupt nichts erkennen möchtest.

      • Solche Themen wie „Windows 10 Lücke: Passwort-Manager gibt Passwörter preis“, wirst du hier nicht lesen. Über Android OS brauchen wir erst gar nicht schreiben. Da laufen Millionen Systeme ungeschützt da keine Updates. Z.B Wlan Lücke.

      • Zum hundertsten mal für dich, was Windows & Co macht interessiert mich nicht die Bohne, da ich keines von dir genannten Produkten nutze. Also spar die Versuche. Kenne mich im Windowslager null aus. Beruflich habe ich nix mit Windows am Hut, nur Apple. Und wenn ich hier sowas lese und Apples Glaubwürdigkeit in Frage gestellt wird, frage ich mich wo Apple mich/uns noch belügt! Ich mag Apple genauso wie du, aber ich sehe das alles etwas kritischer als du. Es gibt hier Nutzer die akzeptieren Apples Marschrichtung seit 2-3 Jahren in der Form und die Erfahrungen zeigen, dass es nicht besser wird, weil eben genau Fanboys wie du alles halb so wild sehen und das nervt mich noch mehr. Apple muss in den Aller wertesten getreten werde damit die mal langsam wach werden. Merkst du es selber nicht, schau dir die Einschläge der letzten Woche an!!! Und die Kommunikation dazu ist mehr als lächerlich. Und nein, ich drohe nicht zum Android Lager zu wechseln, aber ich verweigere weiter Käufe nun seit bereits 2 Jahren. Mein iPhone 6S hätte ich gerne upgegradet, sogar für ein X, aber nicht für den Preis und schon gar nicht nur für FaceID. Genauso bei den iPads. Ein paar mm weniger Rand ist mager. Mein Apple TV habe ich auch kein Update verpasst, weil Apps auf dem TV Müll sind. Content ist mir wichtiger, von daher Fire TV. Mein iMac Late 2010 könnte ich erneuern, aber nicht für die aktuelle Hardware. Einen Monitor hätte ich gerne, aber der LG von/mit Apple ist ein Witz. Apple torpediert sich selbst und das macht mir Angst, denn dann mein Lieber müssen wir alle zu Android und das will ich ganz sicher nicht!!!!

      • Nicht dein Ernst oder?
        Du rechtfertigst das schlechte Verhalten von Apple mit noch schlechterem Verhalten anderer?

        Fakt ist, dass HomeKit 6 Wochen lang offen wie ein Scheunentor war und Apple das wusste.

        Erst nach Bekanntwerden und dem damit verbundenen Druck haben sie reagiert.
        Ohne den hätten wir wahrscheinlich noch ein paar Wochen warten müssen.

        Zudem ist es frustrierend, wenn du einen gravierenden Fehler findest und es Apple dann nicht einmal für nötig hält darauf zu reagieren.

        Wenn du ein Geschäft hast, lässt du den einen Dieb auch nicht gehen, nur weil ein anderer noch mehr geklaut hat
        Ich mag meine Apple-Geräte auch, aber dieses blinde Fanboy-Gebrabbel hat nichts mit gesundem Menschenverstand zu tun.

        Die häufigste Verteidigung für Apples Fehler ist hier: „Aber bei Android ist das noch viel schlimmer ….“
        Apple hebt immer seinen Premiumanspruch hervor, aber aktuell ist das einzige , das noch Premium ist, der Preis der Geräte.

      • Einige leiden an einer verzerrten Wahrnehmung gegenüber Apple, dem sogenannten „Müllmann-Syndrom“. Wer täglich alles über die Apple Welt liest wird sicherlich zu dem Schluss kommen das alles nur noch schlecht bei Apple ist. Die Realität sieht dann doch etwas anders aus.

      • Schön finde ich das Verhalten von Apple in diesem Fall aber auch nicht. Ich kaufe auch bevorzugt Apple Produkte weil ich davon ausgehe das diese sicherer sind als vergleichbare Produkte.

      • Innerhalb von 6 Wochen gefixt – ist doch super flott! Das Problem muss erstmal analysiert werden, eine Lösung dafür gefunden werden, dann muss der Code angepasst und getestet werden und das Softwarepaket an 100 Mio Kunden ausgeliefert werden.

        6 Wochen sind da extrem sportlich. Und wie hier bereits erwähnt: Apple ist der Hersteller, die Lücken am schnellsten schließt. So lange das so bleibt – alles gut!

    • Es zählt bei Apple – wie bei anderen Firmen auch – gefühlt nur noch die Masse und nicht die Qualität!

    • Ich kann deine Meinung voll nachvollziehen. Auch alles aus dem Kommentar vom Kommentar. Werde vorerst auch nichts mehr upgraden. iPhones entweder zu teuer oder im 8er zu wenig drin. Und von der Vergewaltigung vom iOS durch den Wegfall vom Homebutton ganz zu schweigen.
      AppleWatch..? Ohne LTE marginal besser. Klar schneller in jeder Neuauflage, aber dafür werden die älteren gleich künstlich ausgebremst, also relativ schneller das ganze. Beim iPad mini 4 warte ich schon seit Jahren auf ein Update. Ok, wenn keins mehr kommen soll, dann soll es halt so sein. Aber ich will nicht heute eins kaufen um dann im März zu merken dass ich doch lieber 3,5 Jahre hätte warten sollen als doch nur 3 Jahre…
      Die Services lassen auch zu wünschen übrig. Die neue TV App ist auch ein Witz… Von ApplePay will ich gar nicht erst anfangen. Hauptsache die Pipeline ist bei Apple jedes Jahr voll mit Produkten. Neue Schutzhüllen und Armbänder meinen die wohl.

  • Prinzipiell gilt folgendes (auch wenn es vielleicht widersprüchlich klingt): Es ist genau richtig, wenn ein Unternehmen Informationen über eine Schwachstelle in ihrem System erhält, diese erstmal nicht publik zu machen, sondern diese geheim zu halten und im Hintergrund an dessen Lösung zu arbeiten. Sonst hätte der Informant auch direkt an die Öffentlichkeit gehen können. Und bei einer Schwachstelle, die von jedem ausgenutzt werden kann und durchaus schwerwiegende Folgen nach sich ziehen könnte, wäre das der denkbar schlechteste Weg.
    Auf der anderen Seite jedoch ist es mehr als fahrlässig und mir absolut unbegreiflich, wieso dann nicht mit Hochdruck daran gearbeitet wird und so viele Ressourcen wie möglich mobilisiert werden, um dieses Leck zu stopfen: Keine Kommunikation mit dem Melder, wochenlang keine Resultate, aber nur zwei Tage nach der Publikmachung einen behebenden Patch.
    Und falls hier jemand kommt mit „Mir doch egal wenn jemand meine Lampen an und ausschalten kann. Hat er doch nix von.“. Hier geht es nicht nur um Hue, sondern auch um Steckdosen, die möglicherweise wichtige Hardware versorgen, für den ein oder anderen vermutlich auch um Haustüren, Alarmanlagen und Überwachungskameras.

    • Moin,

      wer seine Hauseingangstür an das Internet hängt, der hat im Fall der Fälle selbst Schuld. Null Mitleid

    • Also innerhalb von 6 Wochen gefixt – das ist mal ne Messlatte! Ich hatte ein Samsung Galaxy mit Android, da wurden Fehler gar nicht behoben. GAR NICHT.

      Zu Homekit: Das Problem muss erstmal analysiert werden, eine Lösung dafür gefunden werden, dann muss der Code angepasst und getestet werden und das Softwarepaket an 100 Mio Kunden ausgeliefert werden.

      6 Wochen sind da extrem sportlich. Und wie hier bereits erwähnt: Apple ist der Hersteller, die Lücken am schnellsten schließt. So lange das so bleibt – alles gut!

  • Zeigt ja wieder mal, genau wie die unzähligen iOS/MacOS-Upgrades nach jedem Major-Release, wie mieserable die Softwaretest und Softwarequalität bei Apple mitlerweile ist.

    Und wenn Probleme Wochenlang bekannt sind und nichts passiert, ist das nicht nur delentaitsch sondern auch kundenunfreundlich arrogang

  • Ich habe trotz den ganzen Updates immer noch das Problem, dass nach wie vor vom Account meiner Frau nicht mehr auf die steuerzentrale zugegriffen werden kann „Verbindung zum iPad getrennt“.

    Habe Sie aus HomeKit rausgeworfen und neu eingeladen, aber nicht mal die Anfrage erscheint bei ihr am IPhone oder per Mail.

    Kann mir hier jemand weiterhelfen? Doof wenn Sie die Lampen/Heizkörper usw nicht mehr richtig nutzen kann…

    • Das hatte ich auch:
      Habe ALLE Gäste entfernt, Geräte auf iOS 11.2.1 aktualisiert und dann mit der Eve-App neue Gäste hinzugefügt. Mit der Apple-Home App ging es nicht und verschiedene iOS-Versionen wollten irgendwie auch nicht mehr miteinander.

  • aber Phil Schiller hat doch gesagt, dass Apple nur EINE schlechte Woche hatte… kann doch also garnicht sein…

  • Die kommen langsam mit dem Korrigieren der eigenen Fehler nicht mehr hinterher.
    Umso schlimmer, wenn diese bekannt sind und dann wochenlang nicht behoben werden.

    Ein Grund mehr, warum bei mir alles sicherheitsrelevante nur manuell funktioniert.

  • Gleiches Problem bei mir auch. Bin ich im Wlan kann ich alles über HomeKit steuern (Ikea TRÅDFRI) bin ich im LTE Netz kommt die Meldung iPad nicht verbunden. Obwohl das iPad mit dem Wlan verbunden ist. Alles sehr komisch

  • Wenn ich die Kommentare so lese hier, dann kommt es mir vor wie im Kindergarten. Ein ewiges Gejammere.
    Ich besitze 10 versch. Apple Produkte einschliesslich dem iPhone X und habe nicht annähernd die Probleme die hier vorgejammert werden. Ein Volk der Jammerer.

  • Redet mit. Seid nett zueinander!

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

    ifun.de ist das dienstälteste europäische Onlineportal rund um Apples Lifestyle-Produkte.
    Wir informieren täglich über Aktuelles und Interessantes aus der Welt rund um iPad, iPod, Mac und sonstige Dinge, die uns gefallen.
    Insgesamt haben wir 24451 Artikel in den vergangenen 6209 Tagen veröffentlicht. Und es werden täglich mehr.
    ifun.de — Love it or leave it   ·   Copyright © 2018 aketo GmbH   ·   Impressum   ·   Datenschutz   ·   Auf dieser Seite werben aketo GmbH Powered by SysEleven