Sicherheitsrisiko - Hauppauge mySmarthome im Test

Seit kurzem ist das Starterkit von Hauppauge mySmartHome auf dem Markt. Daher haben wir es uns mal angesehen und auch AV-TEST, das Institut für IT-Sicherheit hat einen Blick auf die Cloudlösung geworfen - leider mit beunruhigenden Ergebnissen.

Hauppauge? Die machen doch TV Karten, TV Stick und High Definition Videorekorder - oder? Nicht ganz. Hauppauge hat mit den mySmarthome Produkten auch das Smarthome für sich entdeckt. Zum Starten bietet Hauppauge 2 Kits an,

1. das Control Starter Kit (Basis, 2x Schalt- und Messsteckdosen, 1x 4-in-1 Tür-/Fenstersensor) , zum schalten von Lampen und elektronischen Geräten
2. das Security Starter Kit (Basis, Kamera, Rauchmelder, Wassermelder, 4-in-1 Tür-/Fenstersensor) zum überwachen der Wohnung bei Bewegung, sowie Alarmierung die Waschmaschine ausläuft.

Das mySmarthome System könnt ihr mit weiteren Produkten von Hauppauge nach euren Wünschen gestalten und erweitern, zum Beispiel mit der RGBW Lampe "iBulb". Über Automatisierungen und Regeln (später im Artikel mehr dazu) könnt Ihr diese bei Bewegung automatisch einschalten, oder Ihr variiert die Farbe als Statusmeldung, zum Beispiel auf rot wenn Ihr das Haus verlassen wollt und ein Fenster ist noch offen. Das Hauppauge mySmarthome verwendet das Z-Wave Funksystem. Somit könnt ihr auch auf andere Z-Wave Geräte weiterer Hersteller zurückgreifen.

Unboxing

Öffnet man die Box des "Control Starter Kit", befinden sich neben der Basis noch ein 4-in-1 Sensor (Bewegung, Tür-/ Fensterkontakt, Helligkeit, Raumtemperatur), sowie zwei Schalt- und Messsteckdosen mit welchen ihr die daran angeschlossenen Geräte via Smartphone App, Browser oder per Regeln ein- und ausschalten könnt. Der Stromverbrauch kann ebenfalls protokolliert werden.

[carousel arrows="display" buttons="display" caption="display"] [panel] [/panel] [panel] [/panel] [panel] [/panel] [/carousel]

Installation

Hier muss ich noch eine kleine Anmerkung vorweg schicken. Bei unserem Test startete die Box nach einem Firmwareupdate nicht mehr korrekt, so dass sich der Support von Hauppauge via SSH aufschalten musste und eine Fernwartung vornahm. Von diesem Problem berichten inzwischen einige User im Netz und auch auf siio unter unserem Beitrag zur IFA2014 hat Dirk von gleichen Problemen berichtet. Zu guter Letzt ist identisches Problem auch beim Team von AV Test aufgetreten. Warum AV-TEST im Fernzugriff des Supports einen Teil einer Sicherheitslücke sieht, .. dazu gleich mehr.

Grundsätzlich gestaltet sich die Installation einfach. Die Wandhalterung an der Rückseite nach unten clipsen und abnehmen. Notiert euch von der Rückseite die Seriennummer der Basis, diese wird gleich bei der Einrichtung benötigt. Nehmt das Netzwerkkabel und führt es durch die Öffnung der Wandhalterung. Steckt dieses dann einfach in den LAN Anschluß der Basis, die andere Seite des Netzwerkkabels in euren Router. Über WLAN verfügt die mySmarthome Basis leider nicht. Stromkabel mit dem Adapter und der Basis verbinden, Stecker in die Steckdose. Fertig. Das war ja einfach ;-)

Ich habe mich bei den weiteren Schritten für den Webbrowser entschieden. Die Einrichtung und Registrierung könnt ihr entweder via Webbrowser auf dem PC oder Laptop vornehmen, alternativ geht dies auch in der Smartphone App. Diese bekommt Ihr im Playstore oder im iTunes Store eures Smartphones. Zum steuern und überwachen aus der Ferne, sowie für die einstellbaren Push Nachrichten benötigt ihr die App später sowieso, also fix installieren bevor es weiter geht ;-)

[carousel arrows="display" buttons="display" caption="display"] [panel] [/panel] [panel] [/panel] [panel] [/panel] [panel] [/panel] [/carousel]

Hauppauge hat zu seinem mySmarthome Portfolio einen sehr guten Videochannel auf Youtube, in welchem Ihr eine Vielzahl von installations videos Findet. Ihr könnt die Videos aber auch direkt über die Hauppauge Homepage im Bereich Support aufrufen. Wie einfach die Installation ist, ... Seht selbst:

[youtube url="http://www.youtube.com/watch?v=pzSAO_xQBI8" rel="0" showsearch="0" showinfo="0"]

Ich habe mich für die Einrichtung per Webbrowser entscheiden. Dazu geht Ihr nicht auf die IP Adresse der Basis, denn das mySmarthome System ist Cloudbasiert, dass heißt ihr surft Ihr zunächst auf die Login-Seite des Portals und registriert euch dort.

Danach gebt ihr die Seriennummer eurer Basis ein. Damit verknüpft ihr die Basis mit eurem Online Account

 

[carousel arrows="display" buttons="display" caption="display"] [panel] [/panel] [panel] [/panel] [panel] [/panel] [/carousel]

Anlernen von Geräten

Wem die ersten Screenshots gerade etwas bekannt vorkamen, der irrt nicht. Das Hauppage mySmartHome baut auf dem Zipato System auf. Die Software sieht daher fast identisch aus. Der Helmut hat euch hier auf siio die Zipabox schonmal in diesem Beitrag vorgestellt und auch gezeigt wie man Regeln baut. Zum Anlernen der Z-Wave Geräte, geht per Webbrowser in den Gerätemanager eures Zipato Accounts, oder klickt in der App auf das Menü mit den 3 Strichen (oben rechts) und dort auf Gerät hinzufügen. Ihr seht hier ein paar Logos von verschiedenen Netzwerken wie: Zigbee, Sonos, Intertek, KNX, ... und viele mehr, da die Zipato Box diese Netzwerke alle unterstützt. Für die Hauppauge mySmarthome wurde dieses Menü scheinbar nicht speziell angepasst. Etwas verwirrend für den Nutzer wie ich finde.

Klickt auf das Z-Wave Logo um den Anlernmodus zu starten. Die LED der Basis beginnt zu flackern, ab nun habt ihr 60 Sekunden Zeit den Taster an eurem Gerät 3x schnell (innerhalb von 1,5 Sekunden) zu drücken, wie dies bei Z-Wave üblich ist. Diesen Vorgang wiederholt ihr für jedes weitere Gerät, welches Ihr in eure Hauppauge Basis einbinden wollt.

Die Montage der Geräte aus dem Starterkit ist super einfach:

• Stecker in die Steckdose
• und beim 4-in-1 Sensor liegen 3 Klebestreifen bei

Regeln erstellen

Ich habe natürlich wie üblich die Anleitung zwar gesehen, aber als echter Mann natürlich im Karton gelassen. Ihr kennt das oder? ;-) Ich habe vorher noch keine Zipato Zentrale benutzt oder gesehen, die Erstellung der Regeln war mir also völlig neu, was mich schnell dazu animierte die Anleitung nun doch aus dem Karton zu holen. Nach studieren der Anleitung, in welcher eine Regel als Beispiel erstellt wurde: "WENN Bewegungssensor eine Bewegung erkannt hat,  DANN schalte Licht ein" - dämmerte es mir langsam und ich schien hinter das System zu steigen.

Auf der rechten Seite findet man die Operatoren (nach einem Update heißen Sie Blocks) und Variablen. Diese Begriffe gehören für mich zu den Dingen, welche ich als Newbie und Otto Normalverbraucher nicht einordnen kann. Dies könnte man wesentlich einfacher verpacken.  ... nennen wir es Puzzle! Das trifft es! Eine Regel wird zusammen gepuzzelt. Ich mag keine Puzzle ;-) Das Drag & Drop Menü hingegen ist gut gelungen.

Ich habe mir die ganzen Optionen auf der rechten Seite einmal angesehen, viele waren ausgegraut und somit nicht freigeschaltet. Ausgegraut? Wenn ihr diese Funktion verwenden wollt, müßt ihr diese dazukaufen. Entweder das Komplettpaket monatlich für 9,99 Credits oder 99,- Credits/Jahr (1 Cedit = 1 US $ ~ 0,90€). Auf der Hauppauge Webseite steht als Vorteil ein Bulletpunkt: "KEINE monatlichen Kosten". Diese Werbeaussage stimmt, denn wenn Ihr weder den Jahresbeitrag noch das Monats Abo zahlen wollt, könnt Ihr einzelne Bausteine ab 49 Credits einmalig kaufen. Zum Beispiel Plugins für Philips Hue, Nest, Sonos. Alle Regelbausteine und Benachrichtigungen.

Es sind daher keine laufenden monatlichen Kosten die man zwingend abschließen muss - eher ist dies hier ein Modell wie "In App Käufe" - dennoch finde ich es frech und wenig Nutzerfreundlich! Meines Erachtens nach fehlt dieser Hinweis, der Kunde findet dies erst nach Kauf heraus.

Lasst uns doch mal eine eigene Regel erstellen: Klickt im rechten Teil auf Puzzle. Ihr seht mehrere Auswahlmöglichkeiten von denen zwei ausgegraut sind. Klickt auf Puzzle -> Kontrolle und zieht per Drag & Drop die grüne Wenn Klammer in die Mitte. Rechts unten findet ihr den Punkt Aktion. Klickt drauf und zieht einen Menüpunkt in die Klammer. Wir arbeiten uns nach unten weiter vor und klicken auf Sensor. und ziehen das blaue eckige Sensor Icon in das freie Eckige Feld. Klickt auf Geräte und sucht euch die Geräte aus, die ihr steuern wollt. In meinem Fall möchte ich: Wenn das Bad Fenster geöffnet wird Dann 2 Schaltsteckdosen einschalten und ich möchte eine Emailbenachrichtigung erhalten. Die fertige Regel sieht dann so aus:

Szenen

Mit den Szenen könnt ihr nach euren Wünschen mehrere Geräte zeitgleich schalten mit nur einem Knopfdruck, oder auch zeitgesteuert in einer Regel. Zum Beispiel Schaltsteckdose am TV an und mehrere Lampen abschalten oder dimmen. Auch hier hätte man das eine oder andere Intuitiver für den Endkunden gestalten können.

Ein Beispiel für eine Homecomming Szene liefert Hauppauge in ihrem Channel

[youtube url="http://www.youtube.com/watch?v=okT3LZhaLwA" rel="0" showsearch="0" showinfo="0"]

IT Sicherheits Check

Natürlich haben wir auch die Hauppauge mySmarthome Zentrale in das Labor vom IT-Sicherheits Institiut AV-TEST geschickt. Wir wollten wissen wie es mit der Verschlüsselung der Daten, Verschlüsselung der Verbindung zwischen Basis und mySmartHome Portal steht und wie sicher die Benutzer Authentifizierung ist.

Das Ergebnis erschreckend!

Da die Hauppauge eine Cloudlösung ist, gibt es keine Möglichkeit der lokalen Steuerung. Die Hauppauge Basisstation hängt dauerhaft am Internet und kommuniziert mit den Servern. Mit den Zipato Servern um genau zu sein - und dies tut sie unverschlüsselt. Firmwareupdates und weitere Informationen werden alle unverschlüsselt zu den Servern übertragen oder von diesen empfangen. Ein Angreifer, der den Verkehr über sich umleitet, kann die Daten ansehen, aber auch manipulieren. Auf diesem Weg gelang es dem Team von AV-TEST eine sogenannte Packet Injection zu starten und darüber die an der Hauppauge angelernte Schaltsteckdose ohne die offizielle App zu schalten.

Die Android App von Hauppauge selbst kommuniziert per SSL Verschlüsselung (TLS 1.2) mit den Servern. Die Verbindung wird mit den Android Standard Mechanismen abgesichert. Auf App Ebene findet keine zusätzliche Absicherung statt.

Backdoor

Je nach Definition des Begriffes, befindet sich in der Hauppauge Basisstation möglicherweise eine Backdoor. Die Sicherheitsexperten stellten in Ihrem Test fest, das die Basisstation, eine für jede Basisstation individuelle Datei, regelmäßig auf dem Update-Server abfragt. In dieser befindet sich aber kein Update, sondern Informationen für eine Verbindung. Wenn die Basisstation, also die Hauppauge Box diese Datei auf dem Server findet, wird eine SSH Verbindung zu dem Zipato Server aufgebaut. Somit hat Zipato jederzeit die Möglichkeit, ohne Wissen des Nutzers auf die Basisstation zu gelangen und diese zu manipulieren.

Diesen Mechanismus könnten natürlich auch potentielle Angreifer verwerden. Dem AV-TEST Team war es möglich, die Hauppauge Box dazu zu bewegen, einen solchen Verbindungsaufbau durchzuführen und die SSH-Verbindung erfolgreich abzufangen. . Lediglich das Fehlen des Passwortes verhinderte die Manipulation des Gerätes auf diese Weise. Aber auch dieses wäre rein theoretisch beschaffbar gewesen, denn:  Auch beim Team von AV-TEST wollte die Hauppauge mySmartHome Box nicht korrekt starten. So wurde der Hauppauge Support kontaktiert, welcher sich per SSH auf der Box einloggte und eine alte Version der Firmware von den eigenen Servern aufspielte.

Bei der Supportanfrage wäre es also theoretisch möglich gewesen genau dieses Passwort, welches wohl für alle Geräte gleich ist, abzufangen. Dies wurde allerdings nicht versucht und so bleibt dies nur eine theoretische Überlegung.

Neben all den schon aufgezählten Informationen und der potentiellen Backdoor (Hintertür), fragt die Hauppauge Basisstation noch andere Dateien vom Server ab, welche ebenfalls im Klartext - also unverschlüsselt übermittelt werden. Darunter eine „config.jar“ Datei, welche Konfiguration der Basisstation, mit den Räumen, dem Netzwerk, ... und dem „zwaveNetworkKey“, dem Benutzername im Klartext enthält. Wermutstropfen, das darin enthaltene Passwort zum Benutzer liegt nicht im Klartext vor.

Die zur Abfrage der Datei erforderliche Seriennummer der Basisstation liefert die Box praktischerweise als Teil des Fernzugriff-Protokolls alle 10 Sekunden, im Klartext mit. Ein Passwort oder ähnliches ist nicht notwendig, jeder kann diese Datei downloaden.

Testurteil: Zu schwacher Schutz. Das Testprotokoll von AV-TEST kannst du hier als PDF downloaden[icons icon="icon-acrobat" color="#dd3333" size="16"].

Da es sich bei der Hauppauge Firmware um Zipato Firmware mit nur minimalen Änderungen handelt, muss davon ausgegangen werden, das die Aussagen auch auf die Zipabox zutreffen.

Fazit

Das System soll sich vor allem an Einsteiger in das Smart Home Thema richten. Die Installation der Komponenten ist super einfach, aber beim Erstellen von Regeln und Szenen dürften viele "Smart Home Einsteiger" gefrustet aufgeben.

Aufgrund dessen, das unter der Hauppauge mySmartHome System die Zipabox Software läuft, welche aufgrund Ihrer unendlichen Erweiterbarkeit eine sehr hohe Komplexität abbildet, adressiert diese auch eine völlig andere Zielgruppe. Hier sind es Häuschenbauer welche neben Z-Wave auch EnOcean, Zigbee, 433Mhz und KNX einsetzen wollen. Dagegen steht eine Zielgruppe von Hauppauge welche sich erstmal mit dem Thema vertraut machen wollen und einfache WENN - DANN Regeln in ihren eigenen 4 Wänden bauen möchten.

Wünschenswert wäre hier eine Anpassung des Portals speziell auf Hauppauge gewesen, zumindest bei den Regeln und auch beim Geräte anlernen - denn dort werden viele verwirrende Funktionen aufgeführt, welche die Box nicht kann.

Frustration kommt bereits nach kurzer Zeit auf, so dass auf die Anleitung und den Videochannel ausweichen muß, der im übrigen auf Englisch ist. Ein Produkt auf den Markt zu bringen in dem man vorher nicht informiert, das nicht alle Funktionen zur Verfügung stehen, ist meiner Meinung nach "eher unglücklich gelöst".

Eine Probephase von z.b. 30 Tagen im vollen Funktionsumfang wäre eine gute Alternative dazu, da man mindestens soviel Zeit braucht um das mySmarthome ordentlich zu konfigurieren bis alles nach seinen Wünschen läuft. So könnte der Nutzer erst einmal sehen was alles geht, und was er alles braucht.

Das Testergebnis des AV-TEST Institut ist erschreckend und bedarf wohl mehr als einer kleinen Firmwareanpassung von Hauppauge, bzw. vielmehr von Zipato. Ein Smart Home System sollte, wenn es denn schon eine Cloudlöung ist, dem Nutzer ein maximales Maß an Sicherheit bieten.