Wie gut ist das Fibaro Smart Home gegen Angriffe geschützt? Diese Frage interessiert dich? Uns auch, daher hat AV-TEST das Fibaro Home Center Lite getestet.
Da immer mehr Geräte am heimischen Router hängen und somit den ganzen lieben langen Tag - und auch Nachts im Internet funken, ist die IT-Sicherheit nicht mehr nur bei PCs und Notebooks wichtig. Es gehört zum netten Komfort, das wir auch unterwegs Informationen über unser Zuhause abrufen und es sogar aus der Ferne steuern können. Damit auch wirklich nur wir unser Zuhause steuern und nicht etwa ein unbefugter Dritter - schauen wir uns von siio, zusammen mit dem Team des Instituts für IT-Sicherheit "AV-TEST" die Smart Home Zentralen im Markt an.
Nach den Tests von Almond, Homepilot, Devolo Home Control, Homee, Hauppauge & Co, haben wir nach dem Veröffentlichen der Firmware 4.x auch das Fibaro Home Center Lite auf Herz und Nieren prüfen lassen.
Wie auch bei den anderen Smart Home Systemen, wurden folgende Aspekte im Test geprüft:
- Verschlüsselte Kommunikation – ist die Kommunikation zwischen Browser, bzw. der Smartphone App und dem Home Center Lite stattfindende Kommunikation vollständig verschlüsselt?
- Verschlüsselte Verbindungen abgesichert – werden zusätzliche Sicherheitsfunktionen verwendet, welche eine Kompromittierung der Kommunikation, trotz angewendeter Verschlüsselung, verhindern?
- Aktive Authentifizierung – sind die Funktionen zur Fernsteuerung durch Benutzerberechtigungen geschützt?
- Manipulation durch Externe – könnten unberechtigte Dritte von außen oder im lokalen Netz Zugriff auf Daten bzw. Funktionen erhalten?
- Gesicherte Fernsteuerung – wie gut ist die Kommunikation bei einem Fernzugriff, also aus dem Internet abgesichert?
Der Test des Fibaro Home Center Lite Systems fand zunächst mit der Firmware Version 4.053 statt. Während der Testphase veröffentlichte Fibaro das Update auf die Version 4.054, weshalb sich das Institut AV-TEST für einen erneuten Testlauf entschied. Soviel sei bereits gesagt: Durch das Update wurden auch potentielle Sicherheitsmängel behoben.
Lokaler und Fernzugriff sicher ?
Lokaler Zugriff
Zwar bietet die Fibaro Smartphone App seit kurzem die Möglichkeit an Geräte anzulernen, die erweiterte Konfiguration, sowie das erstellen von Szenen erfolgt dann jedoch per Weboberfläche. So gibt es also zwei unterschiedliche Möglichkeiten, auf das Fibaro Home Center Lite zuzugreifen. Via Browser und auch per iOS oder Android Smartphone App. Diese Kommunikation erfolgt auf beiden Plattformen über den Port 80 und ist unverschlüsselt.
Fernzugriff
Dies birgt ein theoretisches Risiko, das Dritte, wenn Sie es denn schaffen in das lokale Netz einzudringen, den Datenverkehr mitlesen könnten. In diesem Datenverkehr, teilt das Home Center Lite auf Anfrage auch seine Seriennummer sowie MAC Adresse mit. Das sind die Daten, welche du benötigst, um dir einen Remotezugriff unter home.fibaro.com einzurichten. Solltest du dir dort noch keinen Zugang eingerichtet haben, könnten potentielle Angreifer dir mithilfe der mitgelesenen Daten zuvorkommen.
Zum Thema Fernzugriff schreibt AV-TEST in Ihrem Bericht über die Fibaro Smartphone App:
Die Smartphone App ist nach dem Stand der Technik sehr sicher und kommuniziert verschlüsselt.
Der angelegte Account auf home.fibaro.com, kann aber nicht nur in der Smartphone App genutzt werden. So kann man auch via Browser, falls man zB. auf der Arbeit ist, mal eben auf seinem Fibaro Home Center vorbeischauen. Dazu reicht ein Login mit den Fernzugriff-Ddaten auf home.fibaro.com.
Bis zum Test des Home Center Lite in der Version 4.053, konnte diese Seite unverschlüsselt, also via http:// aufgerufen werden. Die Startseite für den Login und auch das Senden der Login Daten in das Internet war dabei unverschlüsselt. Angreifer hätten diese so abgreifen können.
Ab dem erfolgreichen Login wurde die Seite auf HTTPS umgestellt und überträgt somit verschlüsselt. Da der Fibaro Account lediglich als Relai Server fungiert (eine Art DynDns Account - keine Cloud) wirst du zu deinem Home Center daheim weitergeleitet, in welches du dich noch mit deinen lokalen Zugangsdaten einloggen musst. Einem möglichen externen Angreifer fehlen also noch die lokalen Logindaten.
[alert variation="alert-success"]Inzwischen leitet Fibaro die unverschlüsselten Seiten automatisch auf verschlüsselte Seiten um, so dass auch die Logindaten auf home.fibaro.com verschlüsselt übertragen werden.[/alert]Kommunikation des Fibaro HCL in das Internet
Viele Verbindungen des Fibaro Home Center Lite in das Internet waren unverschlüsselt. Für den Fernzugriff kam eine Kombination aus SSL und SSH zum tragen. Die SSL Verbindung konnte jedoch vom AV-TEST Team in der Softwareversion 4.053 relativ leicht geöffnet werden, so dass der Inhalt mitgelesen werden konnte. Denkbar wäre sogar eine Veränderung des Inhalts gewesen.
Nach dem Update auf die Softwareversion 4.054 waren alle ausgehenden Verbindungen (bis auf die Verbindung für das Yahoo Wetter) abgesichert. Auch werden inzwischen die SSL-Verbindungen geprüft. Die Möglichkeit des einfachen Öffnens der Verbindung, wie unter 4.053 nachvollzogen, ist somit nicht mehr möglich lauf AV-TEST.
Der SSH Zugriff, über welchen der Fernzugriff realisiert wird, konnte von AV-TEST in beiden Softwareversionen auf einen eigenen Server umgeleitet werden und das Fibaro Home Center hat sich dort versucht anzumelden.
(..) Theoretisch hätten die Zugangsdaten so abgefangen werden können.
sagt - Maik Morgenstern, Chief Technology Officer (CTO) AV-TEST GmbH
Firmwareupdate
Die Informationen darüber, dass ein neues Firmwareupdate vorliegt, erhält das Fibaro Home Center Lite inzwischen verschlüsselt. Dies war im Test der 4.053 noch nicht der Fall. Ein Angreifer hätte dem Fibaro HCL also theoretisch eine neue Version vorgaukeln und eine manipulierte Firmware einspielen lassen können.
Die Firmware selber wurde aber nach wie vor unverschlüsselt übertragen, eine Manipulation ist damit denkbar, wurde aber nicht getestet. Außerdem müsste ein Angreifer darauf warten das tatsächlich eine neue Firmware vorliegt.
Backups - eine potentiell angreifbare Stelle?
Im Gegensatz zu der "großen" Version, dem Home Center 2, verfügt das Home Center Lite über keinen USB Port an welchem der "Backup" USB Stick steckt. Datensicherungen können daher nicht lokal abgelegt werden, da der interne Speicherplatz hierfür ebenfalls zu gering dimensioniert ist. Das Fibaro Home Center Lite nutzt daher die Fibaro Server, um die Datensicherungen dort abzulegen.
Im ersten Testlauf (auf der Softwareversion 4.053) wurden die Informationen rund um die Backups unverschlüsselt übertragen. Auf diese Weise konnte alles mitgelesen und auch potentiell verändert werden. Auch diese Verbindungen sind nun seit der Version 4.054 per SSL abgesichert.
Dem Team von AV-TEST ist es jedoch gelungen, ein Backup herunter zu laden und dieses manipuliert wieder hochzuladen. Auch wenn der Nutzer den "restore" - also das wieder einspielen eines Backups - manuell anstoßen muss, besteht theoretisch die Gefahr, eines Angriffs über diesen Weg.
Zusammenfassend sei gesagt:
Im zweiten Test zeigte sich, das viele Lücken geschlossen wurden, bzw. es wurde erschwert diese auszunutzen. Daher ist stets zu empfehlen, auf die aktuellste Version zu upgraden.
Das Fibaro Home Center Lite erhält das Urteil „Anfälliger Schutz“ - unter anderem, da der lokale Zugriff auch nach dem Update auf 4.054 weiterhin unverschlüsselt ist. Die oben aufgezeigten verschiedenen Möglichkeiten der Manipulation durch Externe, z.B. durch manipulierte Backups, erfordern zum Glück stets zusätzlich auch einen lokalen Eingriff. Eigenständig sind Sie somit für einen Angriff nicht nutzbar.
Das Testprotokoll von AV-TEST kannst du hier als PDF downloaden.
Moin Moin,
sehr interessanter Bericht.
Inwieweit lässt sich das denn auf das HC2 übertragen?
Grüße
gringo
Hi,
bis auf die BackUps in der Cloud gleicht das dem HC2. :)
Gruß
hi,
ich gehe davon aus, das dass Home Center 2 die gleiche Software wie auch das HCL verwendet.
Daher sollten alle oben genannten Punkte, bis auf die Art wie Backups erstellt werden auch auf das HC2 zutreffen.
Da ich dies aber nicht sicher sagen kann, bleibt es eine reine Spekulation.
Ich nehme an mit SSL ist TLS gemeint? Wäre ja sonst kein großer Mehrwert.