Schlösser, Kameras und Lichter ließen sich über Fehler in HomeKit manipulieren

In einem Beitrag auf Medium beschreibt ein unter dem Pseudonym "Khaos Tian" eine kritische Sicherheitslücke, die es Dritten erlaubt hätte, volle Kontrolle über sämtliche HomeKit-Geräte zu erlangen. So wäre es darüber beispielsweise möglich gewesen, Türen zu öffnen oder auch das Licht und Kameras zu steuern. Einfallstor sei dabei eine fehlerhafte Anbindung der Apple Watch (watchOS 4.0 und 4.1) gewesen, über die die notwendigen Encryption Keys ungesichert übertragen wurden.

Tian meldete dieses Problem im Oktober an Apple, bekam zunächst aber lediglich eine generische Antwort, dass man sich das Ganze ansehen wolle. Statt eines prompten Bugfixes wurde die Situation in den nächsten Wochen aber sogar noch gefährlicher: Nach dem Update auf iOS 11.2 bzw. watchOS 4.2 konnten nämlich plötzlich auch unautorisierte iPhones und iPads auf diese sensiblen Daten zugreifen. Tian versuchte daraufhin nach eigenen Angaben mehrfach erneut Apples Sicherheitsteam zu kontaktieren, bekam aber keinerlei Antwort.