Apple hat gestern überraschend iOS 15.2.1 veröffentlicht. Neben Fehlerbehebungen in Nachrichten und bei CarPlay-Apps wurde auch die HomeKit-Sicherheitslücke “doorLock” geschlossen, wir berichteten.

Die nun mit iOS 15.2.1 geschlossene Sicherheitslücke hat eine Schwachstelle in HomeKit ausgenutzt, um iOS-Geräte unbrauchbar zu machen. Erst mit iOS 15 hat Apple bei der Vergebung von Namen bei HomeKit-Geräten ein Zeichenlimit eingeführt.

Trotzdem konnten etwa mit iOS 14.7 weiterhin längere Namen vergeben werden. Angreifer mussten dazu nicht mal Zugriff auf das HomeKit-Zuhause haben. Ein Angriff-Szenario war, eine Einladung zu einem HomeKit-Zuhause zu versenden, das ein Gerät mit einem Namen mit mehr als 500.000 Zeichen beinhaltete. Nach der Annahme dieser Einladung wäre das iOS-Gerät unbrauchbar geworden.

Auch ein Zurücksetzen der betroffenen Geräte hätte nichts genützt, da die Daten über iCloud synchronisiert und daher nach der Wiederherstellung auf dem Gerät gelandet wären. Allerdings ist uns kein Fall bekannt, bei dem die Sicherheitslücke wirklich ausgenutzt wurde. Damit das auch so bleibt, empfehlen wir euch die Installation von iOS 15.2.1.