Mit HomeKit hat Apple seit einiger Zeit ein eigenes System für das smarte Zuhause im Angebot. Ein Bereich, in dem dem Thema Sicherheit angesichts besonders hohe Relevanz zukommt. Und doch patzt Apple nun ausgerechnet hier.

Umfassende Übernahme

In einem Beitrag auf Medium beschreibt ein unter dem Pseudonym "Khaos Tian" eine kritische Sicherheitslücke, die es Dritten erlaubt hätte, volle Kontrolle über sämtliche HomeKit-Geräte zu erlangen. So wäre es darüber beispielsweise möglich gewesen, Türen zu öffnen oder auch das Licht und Kameras zu steuern. Einfallstor sei dabei eine fehlerhafte Anbindung der Apple Watch (watchOS 4.0 und 4.1) gewesen, über die die notwendigen Encryption Keys ungesichert übertragen wurden.

Tian meldete dieses Problem im Oktober an Apple, bekam zunächst aber lediglich eine generische Antwort, dass man sich das Ganze ansehen wolle. Statt eines prompten Bugfixes wurde die Situation in den nächsten Wochen aber sogar noch gefährlicher: Nach dem Update auf iOS 11.2 bzw. watchOS 4.2 konnten nämlich plötzlich auch unautorisierte iPhones und iPads auf diese sensiblen Daten zugreifen. Tian versuchte daraufhin nach eigenen Angaben mehrfach erneut Apples Sicherheitsteam zu kontaktieren, bekam aber keinerlei Antwort.

Über Umwege

Bewegung kam in die Sache erst, als der Entwickler das Techblog 9to5Mac kontaktierte. Dieses wandte sich wiederum direkt an die Apple-Pressestelle, die nun Druck bei der Sicherheitsabteilung machte. Mit Erfolg: Am 13. Dezember folgte dann das passende Update, mit iOS 11.2.1 wurde der fatale Fehler also endgültig bereinigt.

Trotzdem nährt dieser Vorfall Zweifel an Apples Sicherheitsversprechen. Immerhin will man sich gerade über dieses Thema von der Konkurrenz in diesem Bereich absetzen. Dass man dann mehrere Wochen lange nicht auf Warnungen vor einer Lücke reagiert, die eine komplette Unterwanderung der eigenen Sicherheitssperren ermöglicht, ist da alles andere als vertrauenserweckend. (red, 21.12.2017)