Fehler unter iOS 11.2
HomeKit-Schwachstelle ermöglichte Unbefugten die Steuerung von Smarthome-Geräten
Eine Schwachstelle in iOS 11.2 hat offenbar dazu geführt, dass Unbefugte Zugriff auf die Steuerung von HomeKit-Geräten wie Lampen, Heizungsthermostate, Steckdosen und auch verbundene Türschlösser hatten. Apple hat den Fehler offenbar kurzfristig zunächst dadurch behoben, dass der Fernzugriff für Personen, die nicht Eigentümer der HomeKit-Einrichtung sind (also auch eingeladene Familienmitglieder) gesperrt wurde. Eine vollständige Fehlerbehebung soll durch ein iOS-Update nächste Woche erfolgen.
Die amerikanische Webseite 9to5Mac berichtet, dass der Fehler vor dieser Maßnahme in der aktuellen iOS-Version 11.2 vorhanden war, obwohl Apple bereits im Oktober über diese und weitere verwandte HomeKit-Schwachstellen informiert wurde. Offenbar wurde mit iOS 11.2 und watchOS 4.2 jedoch nur ein Teil dieser Fehler behoben.
Details zu der Schwachstelle werden aus Sicherheitsgründen bislang nicht veröffentlicht, die Webseite schreibt lediglich, dass es aufwändig gewesen sei, den Softwarefehler auszunutzen.
Sollten die Vorwürfe, dass Apple den Fehler trotz Kenntnis darüber seit Oktober nicht behoben hat und darüber ein Fremdzugriff auf HomeKit-Geräte möglich war jedoch zutreffen, wird sich Apple umfassend erklären müssen. Bislang hat das Unternehmen nur die temporäre Fehlerbehebung kommentiert:
The issue affecting HomeKit users running iOS 11.2 has been fixed. The fix temporarily disables remote access to shared users, which will be restored in a software update early next week.
Wie viele Argumente und Beweise braucht man eigentlich noch, um zu sehen, daß Home-Automatisierung in Sicherheitsrat-relevanten Bereichen nichts zu suchen hat?
Don Quijote gegen die Windmühlen!!
Hauptsache Fun haben…
Hip sein…
Bloß nichts kritisch hinterfragen… ist unsexy
Ja, ein Atomkraftwerk sollte man nicht über HomeKit steuern, das Risiko bei meiner Wohnzimmerlampe ist begrenzt.
Er meint mit Sicherheitsrelevanten Bereichen eher das Türschloß
Zu keiner Zeit würde ich ein elektronisches Türschloss einbauen.
Wär ja mehr als blöd, aber für manche ‚zu cool‘ um wahr zu sein.
Nunja… Tür- und Fensterschlösser, Öfen und Heizungskessel, vielleicht auch alle Verbraucher eines Viertels auf einmal, mit den bekannten, gravierenden Konsequenzen fürs Stromnetz?
Wenn das nicht sicherheitsrelevant ist, weiß ich auch nicht.
Und nun male dir mal ein Bild, wenn Home-Automation mit seinen infrastrukturellen Schwächen und Inkompatibilitäten Gang und Gebe ist, die Hälfte der User sich nicht um Updates kümmert und für die andere Hälfte „veralteter“ Geräte gar keine Updates mehr angeboten werden. Das wird luschtig. :)
Ich bin manchmal erstaunt, Das ist hier doch noch Menschen mit Bodenhaftung und vernünftig reflektierten Argumenten gibt. Großartig!
Aber einem Zylinder aus dem Baumarkt, wie er bei der überwiegenden Mehrheit aller Wohnungen und Häuser eingebaut ist, wahrscheinlich mehr vertrauen …
Beim Wort „Smarthome“ kommen noch mehr Verschwörtheoretiker aus ihren Löchern gekrochen, als sonst bei irgendeinem Thema.
Langsam wird es echt peinlich. *Kopfschüttel*.
Langsam ist gut. Apple *facepalm*
Wer hat nochmal gesagt dass alle anderen Hersteller unsicher sind, bei Homekit aber gar nichts passieren könne???
Keiner.
„Sicherer als andere“ heißt nicht „immer absolute Sicherheit“.
Bestätigen auch zahlreiche Portale.
Nunja. Apple hat für genannte Gerätekategorien die Kriterien gelockert. Weil alle Welt unzufrieden war dass es sondern Hardware gibt.
Wäre jetzt interessant ob es daran lag.
Genau, Apple trifft die Schuld nicht. Wieder mal nur das Opfer. Kaum gibts etwas Innovation schon versagt Apple. Und wir Nutzer sind mal wieder Schuld, weil wir so gierig sind.
Wer hat denn jetzt behauptet das Apple nicht Schuld wäre? Warum schreibst du nichtt einmal was ordentliches? Für rumtrollen reicht dein IQ noch aus.
Revos: Daran liegt es sicher nicht. Apple hat nichts an der Sicherheit geändert, sondern an der Gerätezertifizierung. Früher musste ein Chip verbaut sein, mit dem Apple Geld verdient hat. Mit Sicherheit hatte der aber eigentlich nichts zu tun, da man der nicht für die Kommunikation benötigt wurde, sondern nur für die Zertifizierung. Softwareentwickler haben ja schon vorher HomeKit in Projekte wie z.B. OpenHAB verbaut.
Jetzt kann man sowas halt auch offiziell anbieten.
Dieser Fehler liegt aber direkt bei Apple. Das System erlaubt einen unerlaubten Zugriff von außen, auf das ganze System.
Ach ja, ich warte auch immer noch auf die Antwort auf meine Frage: https://www.iphone-ticker.de/apple-watch-spricht-mit-laufband-gymkit-startet-in-australien-119183/#comment-966155
Oder gehe ich richtig in der Annahme, dass du da einfach nur wieder Blödsinn geschrieben hast, und eigentlich gar keine Ahnung davon hast?
Das Apple keine Fehler macht, ist doch wohl Jedem klar.
Nur so ist es besser, als Lampen von Anbieter A,
Heizungssteuerung Anbieter B, Steckdosen Anbieter C,
Kameras Anbieter D.
4 Bridges und Fernzugänge macht die Sicherheit nicht besser oder?
Bis zu 100% Sicherheit :)
Was ist denn nur bei Apple los??
Wie jedes Jahr halt. Immer wieder tauchen Fehler auf. Ungeschtet davon das niemand wirklich die Fehlerliste auf anderen Systemen vergleicht. User schreiben Sie wechseln. Nächstes Jahr hörst du wieder die ersten die es bereut haben den wechsel. Der Markt freut sich über so viel Umsatz. Apple ist immer noch einer der Hersteller der relativ Zeitnah nach bekannt werden in der Öffentlichkeit patcht. Davon träumt Die Konkurrenz
Nenn mir doch mal ein Beispiel der Konkurrenz wo das in der Art zugetroffen ist und eine so gravierende Sicherheitslücke ungepatcht offen stand? Lass mich raten, du hast gar kein Beispiel, willst halt nur trollen.
Ich weiß nicht warum du immer das gleiche schreibst. Anscheinend hast du keine gegen Argumente. Im Gegensatz zu dir nutze ich nicht nur Apple Produkte sondern habe auch ein Lenovo Thinkpad und diverse Android Geräte von Samsung. Rein beruflich da mich die Fehlerliste und Qualität so dermaßen abschreckt. Ich verstehe nicht warum ich dir auf den Silbertablet jetzt alles aufzählen soll. Es gibt genug andere Foren.
Aha, der Jo nutzt also Android-Geräte? Ein Thinkpad? Aber gleichzeitig stellst du die Behauptung auf, dass andere einen Wechsel bereuen würden bzw. bereits bereut haben? Widerspricht sich das nicht? Ich bin auch gespannt auf einen konkreten Fall den du hier gerne mal beim Namen nennen darfst. Hab gegooglet, leider nix gefunden. Hast du ein anderes Google? Oder gibt es vielleicht keinen ähnlichen Fall wie diesen hier? Warum der Verweis auf Foren, leg doch einfach die Karten auf den Tisch und nenn das Kind beim Namen. Drucks doch nicht so rum. Wirkt unglaubwürdig. Ich kenn da einen Freund, der hat eine Freund, der ne Mutter hat, mit zwei Kindern, deren Vater…blablabla. Oder googlest du jetzt selber verzweifelt nach deinem Strohhalm? Du bist doch kein Lügner, oder?
Wenn man die Wahrheit nicht sehen will stellt man sich doof. Glückwunsch!
HomeKit halte ich nach wie vor für sicherer für den Remote Zugriff auf das eigene Zuhause, als Selbstbaulösungen.
Na ja, am unsichersten sind die großen Systeme, da diese viel mehr im Fokus von Hackern stehen. Bestes Beispiel ist Windows. Linux-Systeme, oder eben macOS nutzen nicht so viele Leute wie Windows. Ergo sind döse Systeme weniger interessant für Hacker.
Nur weil die Anzahl der vermeintlichen Angreifer bei MacOS geringer ist, heist das nicht das es sicherer ist.
Aber interessanter für Einbrecher. Einfach aus 20 m Entfernung die Tür öffnen und einfach reingehen
Das war einmal, solltest du in den Medien aber auch schon nach vollzogen haben.
Ein absolutes Trauerspiel, was da bei Apple abgeht. Fehler werden überall gemacht, aber in diesem sensiblen Bereich darf das nicht passieren. Apple zieht immer mehr mit der Politik gleich: Versprechen die nicht gehalten werden! Auch der Support wird immer schlechter. Wozu kauft man noch solch überteuerte Geräte? Das kann nur noch etwas mit Status zu tun haben :-( Wenn bei mir im kommenden Jahr die Geräte abgeschrieben sind, werde ich auf Windows & Android umsteigen. Diese sind auch nicht sicher, kosten aber weitaus weniger. Zudem gibt es wesentlich mehr und zudem bessere Office-Programme, die für die Bürowelt wesentlich effizienter sind.
Kein System ist (dauerhaft) sicher.
Die sind nicht nur genauso unsicherer sonder wesentlich unsicherer. Na dann viel Spaß! Zieh es durch!
Wie wäre es zu der Behauptung zur Abwechslung mal mit Fakten? Quellen? Wer sind überhaupt die Anderen? Deine Mutter? Deine Freundin? Ist das eine Verallgemeinerung? Oder wolltest einfach mal was schlaues sagen wovon du absolut keine Ahnung hast? Ausser Apple nutzt du doch nix anderes.
@budderkeks
Lt. diesem Nickname, bedarf es keinerlei Erklärung. Wer Lesen und Denken kann, ist klar im Vorteil.
Tja lieber Jens, dann schieß mal los, was dein Business ist, denn du machst ja keine Fehler. Überall, wo Menschen beteiligt sind, werden Fehler gemacht, darüber kann man auch aufregen oder es einfach akzeptieren.
WOW wenn du zum wiederholten mal dein TEL oder Computer umtauschen musst, kannst, sollst möchte ich mal sehen wie verständnisvoll du noch bist.
Android günstiger? Topgeräte kosten kaum weniger. Windows Handy stirbt, immer weniger App‘s… Viel Spaß, tschüss!
Das ist wie mit AKWs. Der Mensch macht Fehler. Und man begibt sich mit vielen (!) Dingen in Abhängigkeiten. Wir werden damit leben lernen können müssen.
Aber dumm muss man nicht sein.
Für mich persönlich ist bei smarten Türschlössen die Grenze. Für andere schon beim Licht.
Also: locker machen. Entscheidung treffen. Nicht so aufregen.
Der Mensch ist der Fehler.
Euch ist aber schon klar das hier von einer Sicherheitslücke in einer Beta die Rede ist? Scheinbar hat Apple mit dem sperren der „Nichteigentümer“ die Lücke erst einmal geschlossen.
Wo steht bei 9t05 was von Beta? Im ersten Satz „aktuelle Version von 11.2“.
Die Lücke ist nicht geschlossen, sondern besteht weiterhin, außer das sie momentan notdürftig geflickt ist. Seit Oktober ist viel Zeit ins Land gestrichen und eine Notlösung ist alles, was sie auf die Beine gebracht haben.
Na dann bin ich jetzt aber auf die Fanboy Kommentare gespannt. revosbackback? Für dich sicherlich nicht gravierend? Bei Android ist ja alles viel schlimmer. So langsam wird die Lobhudelei auch für euch peinlich. Besser ihr sagt gar nichts mehr. Für euch ist heute Schweigen Gold.
Besitzt Android so etwas überhaupt? Wenn man sich mit anderen Herstellern außer Apple eine Weile beschäftigt hat man ganz andere Probleme/ Sorgen. Alexa ist von der Sicherhheit ja auch nicht eine Sicherheitsfestung.
Aha dann klär mich doch bitte einfach mal auf. Wenn du es schon behauptest könntest du auch eine Quelle liefern, ansonsten einfach mal Schweigen. Dein Apple ist die Sonne, haben wir verstanden jo.
Ich finde es ehrlich gesagt auch gravierend, dass die Fehlermeldungen bei Apple in letzter Zeit immer mehr werden, aber zum Teil liegt das auch daran, dass Apple viel mehr im Fokus steht als Android.
Letzte Woche kam im Radio dass Android, den Aufenthaltsort Tracks und weitergibt, obwohl der User das explizit nicht erlaubt und GPS ausgeschaltet hat.
Da wird eben über die Funkmasten weiter spioniert. Ich habe in nicht einem Nachrichtenmedium etwas darüber gelesen oder gar fette Überschriften gefunden. Bei Apple wäre das anders gewesen.
Das entschuldigt aber nicht die gestiegene Fehlerhäufigkeit und die zum Teil etwas nachlässige Behandlung.
Traurig das Menschen wie butterkeks anscheinend keine andere Quellen besuchen. Google ist heut zu Tage nicht schwer zu benutzen!
Ja… Android trackt per WIFI weiter, wenn man das in den Ortungseinstellungen nicht dezidiert deaktiviert… Nur WLAN ausschalten hilft da nicht…
Übrigens: das macht Apple seit iOS 11 auch
Hier: iOS 11.2 -> homekit tut nicht. iOS homekit funktioniert.
Hier klappt alles. Was geht denn nicht?
Falscher Beitrag jo. Dein Fanboy-Satz „Bei mir läuft alles ohne Provleme.“ kannst dir heute sparen. Hier geht es um eine Sicherheitslücke. Bedeutet für dich, läuft alles nach wie vor wie geschmiert, aber das Tor ist offen. Merkste nur wenns anfängt zu ziehen. ;)
Deine Anti-Sozialen Beiträge werden niemanden helfen. thymian hat anscheinend ein Problem ich habe gefragt welches. Evtl. könnte man ja sogar helfen.
Das nennt man Hilfe anbieten. Kennst du anscheinend in dein Umkreis nicht. Traurig!
Danke der Nachfrage: Ich bin gerade häufig in der „Geräte und Szenen laden …“ Warteschleife. Und da geht für mehrere Stunden nichts mehr (auf neuen Geräten). Lediglich mit meinem alten iPad (iOS 9.irgendwas) kann ich dann noch schalten und walten. Habe auch schon idiotischerweise alles neu aufgesetzt. Leider die reinste Zeitverschwendung. Ändert nichts. Hoffe, das ist mit dem kommenden update behoben.
sollte heissen: version kleiner als 11.2 -> homekit funkttioniert.
Nur wahrscheinlich mit Sicherheitslücke.
Hmm… Ich denke, dass die Einbruchswahrscheinlichkeit mit einem Dietrich höher ist, als das jemand mein Netzwerk hacked um sich einen Zugriff zu verschaffen!?! Mein elektonisches Schloss bleibt :)
Danke. Zumal man vielen Lösungen von außen gar nicht ansieht, dass es sich um ein elektronisches Schloss handelt.
Danke für dieses Argument, tolles Eigentor von dir: Ergo, die Wahrscheinlichkeit eines Einbruchs ist somit geringer, wenn man HomeKit (…) und die dazugehörige Technik nicht nutzt.
Laut 9to5Mac: The vulnerability required at least one iPhone or iPad on iOS 11.2, the latest version of Apple’s mobile operating system, connected to the HomeKit user’s iCloud account.
Es steht ja schon im Artikel oben, dass die Ausnutzung der Sicherheitslücke sehr aufwändig ist. Ein Angreifer benötigt hierzu Zugriff auf ein iPhone/iPad, das über den iCloud Account mit HomeKit verbunden ist.
Ein Fremder benötigt also entweder mein registriertes und entsperrtes iPhone oder er versucht über ein nicht registriertes Gerät Zugriff zu erlangen, dann kommt er aber nicht an der 2FA vorbei, da diese zwingend für HomeKit erforderlich ist.
Wie auch 9to5Mac schreibt, muss man sich im Klaren sein, dass es in Software Fehler gibt und auch immer geben wird. Die Hürden um diese Fehler auszunutzen sind jedoch sehr hoch und nicht von einem 08/15-Angreifer mal eben so zu knacken. In den Kommentaren wird jedoch wieder so getan, also könnte nun jeder Zugriff auf mein smartes Home erlangen. Keine Frage, es ist wichtig, dass Sicherheitslücken geschlossen werden. Man sollte aber auch mal den Ball flach halten, wenn man bedenkt, wie schwierig es ist diese Sicherheitslücke auszunutzen.
Stimmt, und da Homekit eh keiner nutzt, hat niemand wirklich was zu befürchten.
Sehr sinnvoller Kommentar…aber ist man ja nicht anders gewohnt hier. LOL.
Lösungsvorschlag:
– Vernünftige (nicht cloudbasierte) Smarthomelösung installieren (Bussystem für den Neubau oder Funk zum nachrüsten)
– Aufbau zur Zentrale von unterwegs via VPN (wer zu faul ist den Schalter umzulegen kann sich auch gerne mal mit VPN on demand befassen. Geht bei iOS ohne Probleme)
– Netzwerk ausreichend absichern.
Seien wir mal ehrlich: HomeKit hat nur eine schicke Oberfläche. Die Automationen sind zu rudimentär und reichen nicht wirklich aus um ein „Home Smart“ zu machen.
Thermostate via Bluetooth ansteuern? In einer Wohnung vielleicht machbar. In einem Haus über mehrere Stockwerke wohl eher Wunschdenken.
Auch Fibaros Unterputzschalter (die übrigens im Bereich Z-Wave sehr gut sind) ist eine gute Idee, aber einen Bluetooth Empfänger in einer Installationsdose, abgeschirmt von Elektroleitungen mindesten 40mm tief in der Wand zu platzieren, halte ich auch nicht gerade für gut.
Leider muss es immer einfach und schick sein und da kommt es automatisch zu Problemen (siehe auch Homematic IP Serverausfälle der letzten Tage).
Was die Schwachstelle angeht: Ja sie ist da. Der Aufwand ist aber mal wieder etwas höher um diese ausnutzen zu können.
Es gibt auch Leute, die Alexa, Siri usw einsetzen und dann (vllt.) plötzlich feststellen „Oh, Alexa hat mehr zugehört, als von mir erwünscht“.
Viele sind inzw. noch fauler geworden und ziehen es vor, zB die Wohnzimmer-Lampe oder die Heizung mit einer App einzuschalten als mit „Aufstehen und zum Schalter gehen“ – dann müssen sie eben damit leben, dass sie Ihr Leben offenlegen. Nur, würdet Ihr einen realen Spion in eure Wohnung lassen? Eine Wanze in der Wohnung haben? Heute heissen die Wanzen „Siri“ und „Alexa“, „Echo“ …
ich krieg hier meine Lichter nicht mehr aus! wie lange dauert das noch?