FabianBisher galt Apples Smart Home System HomeKit als sehr sicher. Nun ist eine erste Sicherheitslücke aufgetaucht.
Laut US-Medienberichten gab es in HomeKit eine Sicherheitslücke, die unautorisierten Personen den Zugriff auf alle eingerichteten Geräte erlaubt hat, im Zweifel sogar auf Türschlösser. Apple soll bereits Ende Oktober Kenntnis von dem Fehler erhalten haben, eine endgültige Fehlerbehebung steht bislang allerdings noch aus, denn auch mit iOS 11.2 wurde die Sicherheitslücke nicht komplett geschlossen.
Stattdessen hat Apple eine temporäre Sperre eingebaut, damit die Sicherheitslücke zumindest nicht mehr von Angreifern ausgenutzt werden kann. Das hat allerdings Nebenwirkungen: In HomeKit eingeladene Personen, also beispielsweise Familienmitglieder des HomeKit-Eigentümers, haben aktuell keinen entfernten Zugriff mehr auf die Smart Home Geräte. Eine Steuerung ist für sie aktuell nur noch dann möglich, wenn sie sich im heimischen WLAN aufhalten.
HomeKit-Sicherheitslücke macht weiteres iOS-Update erforderlich
Mit einem weiteren iOS-Update, das Anfang der kommenden Woche verteilt werden soll, will Apple die Sicherheitslücke dann endlich komplett schließen und wieder einen regulären Betrieb für alle Nutzer ermöglichen.
Die Schwachstelle liegt laut Informationen von 9to5Mac ganz klar nicht bei den einzelnen Geräten und den verschiedenen Herstellern, sondern im HomeKit-Framework von Apple.
Freddy
Mel
„Bisher galt Apples Smart Home System HomeKit als sehr sicher. Nun ist eine erste Sicherheitslücke aufgetaucht.“
Auch wenn ihr es nicht gerne hört, weil ihr ja oft genug Spielzeug zum Thema „HomeKit & Co“ hier als sicher anbietet. Es gibt genug seriöse Test’s, die die Unsicherheit dieser Spielereien schon mehrfach bestätigt haben. Ab wann geht eigentlich bei euch die Alarmglocke an?
@Informant: Bequemlichkeit steht eindeutig höher im Kurs als Sicherheit, deswegen hört man solche Dinge hier nicht so gerne, weder Appgefahren noch (insbesondere) die Nutzer. Hauptsache es sieht gut aus und ist bequem.
Erschwerend kommt hinzu, dass jedes IoT-Gerätchen und jede Smarthome-Komponente ein eigenes Einfalltor ist, weil die Bridges immer schön eine eigene Verbindung zur Cloud des Herstellers aufbaut. Wie soll denn eine Bridge für ca. 15 Euro oder einer WLAN-LED-Lampe für unter 30 Euro sicher sein? Theoretisch müsste alle Komponenten alle paar Tage Sicherheitsupdates erhalten, weil ständig neue Lücken bekannt werden.
Ich sehe das ganz ähnlich. Allerdings muss man auch sagen, dass das Thema Sicherheit hier dermaßen nachrangig behandelt wird, dass der normale User hier kaum für das Thema sensibilisiert wird.
Klar, Appgefahren ist ein Mainstream-Blog, aber etwas mehr könnte das Thema schon in den Fokus gerückt werden. Vielleicht auch mal durch eigene Recherche, statt immer nur woanders abzuschreiben.
Wenn es hier um vernetzte Geräte geht, sollte eigentlich immer ein eigener Absatz zum Thema Sicherheit und Updates (oder die Update-Politik des Unternehmens bei vorherigen Produkten) dabei sein. Stattdessen liest man dann des Öfteren, wie die Sicherheitsversprechen der Hersteller einfach heruntergeleiert werden, ohne dass das mal hinterfragt wird.