Apple HomeKit: Schwachstelle kann schwerwiegende Folgen haben
Apples Smart-Home-Lösung HomeKit soll eine Schwachstelle haben. Die vom Sicherheitsforscher Trevor Spiniolas entdeckte Lücke kann über die HomeKit-Schnittstelle ausgenutzt werden. Eine genaue Niederschrift unter dem Thema doorLock hat er hier veröffentlicht, betroffen sein sollen iOS 14.x bis hin zum aktuellen iOS 15.2.
Sofern ein Angreifer ein HomeKit-Gerät mit einem extrem langen Namen, 500.000 Zeichen werden genannt, erstellt, reagiert ein iOS-Gerät wohl mit Einfrieren – und zwar so lange, bis man es resettet und wiederherstellt.
Das Problem dabei? Das Wiederherstellen eines Geräts und die erneute Anmeldung beim iCloud-Konto, das mit dem HomeKit-Gerät verknüpft ist, löst den Fehler erneut aus. Weiteres Problem: Ein Angreifer könnte auch Einladungen zu einem Haushalt, das die bösartigen Daten enthält, an Nutzer senden, selbst wenn diese kein HomeKit-Gerät haben.
Der Fehler dürfte bald behoben werden: Er wurde laut Spiniolas erstmals am 10. August gemeldet und ist noch in iOS 15.2 enthalten (Angreifer brauchen aber wohl iOS 14.x, da iOS 15 so lange Namen nicht mehr akzeptiert). Apple gab an, den Fehler in einem Sicherheitsupdate vor 2022 beheben zu wollen, hat es aber versäumt, eine tatsächliche Lösung vorzustellen. Am 8. Dezember änderte Apple laut Bericht die Schätzung auf „Anfang 2022“. Spiniolas zog es vor, Apple keine weitere Frist einzuräumen und machte den Fehler öffentlich. Sein Statement dazu? Die mangelnde Transparenz von Apple ist nicht nur für Sicherheitsforscher frustrierend, die oft unentgeltlich arbeiten, sondern stellt auch ein Risiko für die Millionen von Menschen dar, die Apple-Produkte in ihrem Alltag verwenden, da Apple in Sicherheitsfragen weniger verantwortlich ist.
Transparenz: In diesem Artikel sind Partnerlinks enthalten. Durch einen Klick darauf gelangt ihr direkt zum Anbieter. Solltet ihr euch dort für einen Kauf entscheiden, erhalten wir eine kleine Provision. Für euch ändert sich am Preis nichts. Partnerlinks haben keinerlei Einfluss auf unsere Berichterstattung.
Wieder eine Sicherheitslücke, die zwar behoben werden muss, aber ein „Risiko für die Millionen von Menschen, die Apple-Produkte in ihrem Alltag verwenden“ dürfte das höchstens theoretisch sein.
Und selbst dann, weder ist das Gerät kaputt, noch werden Daten abgegriffen. Dennoch unschön
Erst eimmal sieht es so aus, als müsste man als Angreifer erstmal ins Home des Opfers eindringen. Es reicht aber, wenn eines der vielen vielen IOT Geräte in HomeKit sich umbenennt oder ein neues Gerät mit so einem langen String anlegt. Dafür gibt es viele Szenarien, z.B. schlecht geschützte, gehackte Anbieter (guckt euch die ganzen HomeKit Steckdosen etc. auf Amazon an), böswillige Trolle (es reicht ja ein schlechter Charakter, der an der richtigen Stelle sitzen muss und diesen Bug in hunderte Haushalte bringt), Geräte von Herstellern, die es nicht mehr gibt, deren Update funktion jemand kapern könnte..
So ganz abwegig ist das alles nicht. Und da es kein Home/HomeKit ohne eine Steuerzentrale (HomePod, Apple TV, iPad) gibt, sollte es auch eigentlich nicht sehr schwer sein, einen Fix dafür rauszubringen.
Die Frage ist: wer akzeptiert HomeKit-Einladungen von Leuten, die er nicht kennt?
> Status updates on the matter were rare and featured exceptionally few details, even though I asked for them frequently.
Wie stellt er sich das vor? Dass ein angestellter Entwickler einem Außenstehenden regelmäßig Tagebuch schreibt, was er auf Arbeit so treibt?
Und was erachtet er als eine „sehr lange Zeichenkette (500,000 characters in testing).“ Ich hätte erwartet, dass er wenigstens die Untergrenze ermittelt.
„Wie stellt er sich das vor? Dass ein angestellter Entwickler einem Außenstehenden regelmäßig Tagebuch schreibt, was er auf Arbeit so treibt?“
Unternehmen, die Sicherheit ernst nehmen haben ein Bugzilla, oder ein Git oder etwas ähnliches. Darin wird der Bug und sein Bearbeitungsstatus getrackt und entweder ist das ohnehin öffentlich, oder der Entdecker erhält einen (eingegeschränkten) Zugriff auf „seinen“ Bug oder wird zumindest per Mail über bestimmte Statusänderungen informiert.
Apple aber ist dafür bekannt, sich Bugs melden zu lassen und danach einfach nichts mehr zu kommunizieren. Weder öffentlich, noch direkt. Es gab wohl schon mehrfach Fälle, in denen die Melder von Bugs aus den Release Notes erfahren haben, das „ihr“ Bug geschlossen wurde, denn direkt von Apple haben sie keinerlei Nachricht erhalten.
Und das ist ein ziemlich schlechter Stil und deshalb ist es kein Wunder, das viele Sicherheitsforscher nur ungern mit Apple zusammenarbeiten wollen (dazu kommt ein undurchsichtiges Bug Bounty Programm und teilweise NDAs, die unterzeichnet werden sollen).
„Und was erachtet er als eine „sehr lange Zeichenkette (500,000 characters in testing).“ Ich hätte erwartet, dass er wenigstens die Untergrenze ermittelt.“
500,000 charakters in testing –> Das ist Deine Untergrenze
Sorry, das uninformierter Blödsinn. Hauptsache mal ein bisschen Hörensagen weitergeben. Apple hat so ein Tool, nennt sich Radar. Jeder eingereichte Bug bekommt ein Ticket, man sieht, ob er anerkannt wird, wenn ja, welche Klassifikation und Priorität er hat (1-4), ob er ein Duplikat ist, man erfährt, wenn er geschlossen wird, was getan wurde, um ihn zu beheben, etc. Wenn man die Feedback-App nimmt, bekommt man teilweise persönliche Rückmeldung, vor allem wenn mehr Informationen benötigt werden.
Aber es ist es schlicht gesagt eine schwachsinnige Forderung, dass sich ein Entwickler ab und an mal melden und eine Email schicken soll. Das liegt zum einen an der Masse der Probleme, an denen gearbeitet wird. Zum anderen auch daran, dass nicht jeder Entwickler Zugriff auf alle Daten im Radar hat. Darum ist die Datenbank auch nicht (mehr) öffentlich. Bug Reports können persönliche Daten enthalten, die man einfach so scrapen könnte. Wer will, kann die aber trotzdem bei Open Radar verlinken, sollte die Informationen aber auch aktualisieren (macht nicht jeder).
https://developer.apple.com/bug-reporting/
https://openradar.appspot.com/
Aber immerhin hat er eine Pseudo-Lücke und einen fancy Namen dafür. Eine Praxis, über die man sich in der Szene seit einigen Jahren lustig macht. Aber macht sich gut auf’m CV.
Un 500k Zeichen als Untergrenze, was ist das für eine lächerlich hohe und arbiträre Nummer? Die wohl wichtigste Frage bei dem Thema hier wäre, die tatsächliche Untergrenze zu ermitteln.
Für mich keine kritische Sicherheitslücke. Es muss einiges zusammenkommen und es ermöglicht Dritten keinen Zugriff auf Daten. Seine Unterstellung ist, dass der Bug sehr bald von Ransomeware bzw. deren „Vertreiber“ ausgenutzt wird, aber ganz so einfach ist es dann nicht.
Also ja, muss gelöst werden, aber da gab es wirklich weitaus kritischere Lücken, die ohne unübliches, eigenes Zutun ausgenutzt werden konnten.