/iOS 11.2.1 stopft HomeKit-Remote-Lücke

iOS 11.2.1 stopft HomeKit-Remote-Lücke

HomeKit-Remote-Lücke: iOS 11.2.1 bessert nach

Die vorinstallierte Home-App ist zentrale Schaltzentrale für HomeKit-kompatible Heimautomatisierung.

(Bild: Apple)

Das Update für iPhone, iPad und Apple TV soll die Fernsteuerung von Smart-Home-Geräten wieder in vollem Umfang ermöglichen. Apple hatte die Funktion wegen einer Schwachstelle abgeschaltet – ohne Nutzer sinnvoll darauf hinzuweisen.

Apple hat am Mittwochabend das inzwischen achte Update für iOS 11 zum Download bereitgestellt. iOS 11.2.1 soll nicht näher genannte Fehler beheben sowie ein Problem ausräumen, “bei dem der entfernte Zugriff für gemeinsame Benutzer der Home-App deaktiviert wurde”, wie der Hersteller mitteilt. Nach dem Einspielen soll das Fernsteuern von HomeKit-Geräten durch autorisierte Dritte wieder möglich sein, ebenso wie das Erteilen von Freigaben für andere Nutzer.

Apple hatte die HomeKit-Freigabe Ende vergangener Woche als Notfall-Fix abgedreht, nachdem eine gravierende Schwachstelle in der Heimvernetzungstechnik des Konzerns entdeckt worden war. Das plötzliche Abstellen der Funktion führte dazu, dass Familienmitglieder (oder andere Nutzer mit erteilter Freigabe) ihre heimischen Geräte nicht mehr von unterwegs aus bedienen konnten und etwa auch Automatisierungsfunktionen – etwa beim Verlassen der Wohnung – nicht funktionierten.

Einen Hinweis oder eine sinnvolle Fehlermeldung erhielten Nutzer nicht. Viele suchten entsprechend verwirrt in Foren und beim Apple-Support um Rat – auch dort schienen aber viele Mitarbeiter nicht unterrichtet gewesen zu sein.

Angreifer konnte Home-App manipulieren – aus der Ferne


HomeKit-Freigabe

HomeKit-Geräte lassen sich für Dritte freigeben – auch Unbefugte konnten so Smart-Home-Hardware fernsteuern bis hin zum Türschloss.

Laut Apple konnte ein entfernter Angreifer den Zustand der Home-App “unerwartet verändern” und bestehende HomeKit-Szenen, etwa das Anschalten bestimmter Lichter oder das Öffnen von Türen, auslösen – dafür musste er allerdings die E-Mail-Adresse respektive Apple-ID des Opfers kennen. Das HomeKit-Problem habe in der Handhabung von Benachrichtigungen gelegen; es wurde durch eine verbesserte Eingabevalidierung behoben, schreibt der Hersteller. Weitere Details zu der Lücke sind nach wie vor nicht bekannt.

iOS 11.2.1 lässt sich über die integrierte Softwareaktualisierung direkt auf iPhone, iPad und iPod touch beziehen – oder über iTunes herunterladen.

Das Update ist je nach Gerät unterschiedlich groß, auf einem iPhone X misst es zum Beispiel knapp 69 MByte. Neben iOS 11.2.1 liegt mit tvOS 11.2.1 auch ein aus gleichem Grund erfolgtes Update für Apple TV (ab Generation 4) vor.


(lbe)