iOS 15.2.1 schließt HomeKit-Sicherheitslücke „doorLock“

Im Laufe des heutigen Abends hat Apple die finale Version von iOS 15.2.1 (sowie iPadOS 15.2.1) veröffentlicht. Die Versionsnummer X.X.1 deutete bereits an, dass man keine neuen Funktionen erwarten sollte. Neben Bugfixes für Nachrichten und CarPlay hat Apple eine HomeKit-Sicherheitslücke geschlossen.

iOS 15.2.1 schließt HomeKit-Sicherheitslücke „doorLock“

Anwender haben ab sofort die Möglichkeit, iOS 15.2.1 über Einstellungen -> Allgemein -> Softwareupdate herunterzuladen und zu installieren. Aus dem begleitenden Support Dokument geht hervor, dass Apple mit dem Update eine HomeKit-Sicherheitslücke geschlossen hat.

Die Lücke führte dazu, dass ein in böswilliger Absicht erstellter „HomeKit“-Name zu einem Denial-of-Service führt, wodurch iPhones und iPads nicht mehr funktionieren. Apple gibt an, dass die Sicherheitslücke durch ein Problem mit der Erschöpfung der Ressourcen verursacht wurde. Durch eine verbesserten Eingabevalidierung wurde das Ganze nun behoben.

Erst vergangene Woche war die als „doorLock“ bezeichnete Sicherheitslücke bekannt geworden. Diese kann zum Tragen kommen, wenn der Name eines ‌HomeKit‌-Geräts in einen Namen mit über 500.000 Zeichen geändert wird. Der Versuch, eine so große Zeichenfolge zu laden, führt dazu, dass das iOS-Gerät in einen Denial-of-Service-Zustand versetzt wird. Einziger Ausweg war das Zurücksetzen des betroffenen Gerätes. War kein Backup vorhanden, konnte dies zu einem Datenverlust führen. Das erneute Anmelden bei dem betroffenen iCloud-Konto, das mit dem „manipulierten“ ‌HomeKit‌-Gerätenamen verknüpft ist, konnte den Fehler erneut auslösen. Von daher können wir euch nur dringend empfehlen, das Update auf eurem iPhone und iPad zu installieren.