YESLY Smart Home

Schließt das große Homee Update die Sicherheitslücken?

Bild © crissxcross
crissxcross
Geschrieben von crissxcross
siio-App

homee zählt wohl zu den wenigen Smart Home Zentralen mit dem WAF. Doch wie steht es um die IT-Sicherheit mit homee? Wir haben die bunten Smart Home Würfel mal zu AV-TEST geschickt. Ob sicher oder nicht, ließt du hier.

Neben einem schicken Aussehen, kann homee auch mit einer einfachen, gut strukturierten Oberfläche punkten, sowie einer breiten Interoperabilität. Die Basis bildet der mit WLAN ausgestattete weiße Brain Cube. Erweitert werden kann dieser mit dem (lila) Z-Wave und dem (türkis) Farben EnOcean Würfel. Bald gibt es zudem auch den (orangen) Zigbee Würfel. (Ich hatte hier den homee schon einmal ausführlich vorgestellt).

Bild © crissxcross

Homee Smart Home Zentrale und Würfel

Was wurde getestet?

Wir haben Homee von dem Institut für IT-Sicherheit: „AV-TEST“ prüfen lassen. Genau unter die Lupe genommen wurden dabei:

  • Verschlüsselte Kommunikation – es wurde geprüft ob die, zwischen der Smartphone App und dem Homee Cube stattfindende Kommunikation vollständig verschlüsselt ist
  • Verschlüsselte Verbindungen abgesichert – hierbei wurden zusätzliche Sicherheitsfunktionen geprüft, die eine Kompromittierung der Kommunikation, trotz angewendeter Verschlüsselung, verhindern.
  • Aktive Authentifizierung – sind die Funktionen zur Fernsteuerung durch Benutzerberechtigungen geschützt?
  • Manipulation durch Externe – es wurde geprüft, inwieweit unberechtigte Dritte Zugriff auf Daten oder Funktionen von außen erlangen könnten, sowie auch über das lokale Netz.
  • Gesicherte Fernsteuerung – wie gut ist die Kommunikation bei einem Fernzugriff, also aus dem Internet auf das eigene Smart Home abgesichert?

Lokaler – und Fernzugriff

Der Brain Cube wird mit deinem WLAN verbunden, kann aber auch ein eigenes WLAN Netz im Accesspoint Modus aufbauen. Die Smartphone App verbindet sich automatisch nach dem scannen des QR-Codes, mit dem homee Brain Cube. Aber birgt vielleicht genau diese Einfachkeit eine Sicherheitslücke?

Wenn du deine homee Smartphone App startest, fragt diese in deinem Netzwerk nach dem Brain Cube und dieser antwortet. Danach tauschen beide Informationen aus und dies unverschlüsselt. Das heißt es ist möglich, die Zugangsdaten mitzulesen.

Doch was ist, wenn man von unterwegs auf sein Smart Home zugreifen möchte?

Im ersten Moment scheint es so, als wenn die Login-Daten im Klartext übermittelt werden, denn die Webseite (home.ee/login) ist unverschlüsselt. Aber danach große Erleichterung! Alle Daten werden per HTTPS und damit abgesichert versendet. Über die Webseite greift die SSL-Verbindung, in Android und Windows die entsprechenden Mechanismen des Browsers.

Für den Fernzugriff auf Seiten des homee (Brain Cube) wird SSH verwendet. Hier war es dem Team von AV-TEST möglich, diesen Zugriff auf einen eigenen Server umzuleiten. homee hat den fremden Server akzeptiert und sich versucht anzumelden. Über diesen Mechanismus ist ein sogenannter „Man-in-the-middle“ Angriff möglich, bei welchem es theoretisch möglich wäre die Zugangsdaten abzufangen.

Firmwareupdate

Seit einiger Zeit kündigt Codeatelier (die Macher von Homee) das „große Update“ an. Vor kurzem wurde ein kleineres Update mit der Versionsnummer: 1.0.688 veröffentlicht, welches eine Vorbereitung auf das geplante „große Update“ bildet. Die notwendige Datei wird allerdings unverschlüsselt heruntergeladen. Theoretisch könnte ein Angreifer dem Homee ein neues Update vorgaukeln und seine eigene manipulierte (infizierte) Firmware aufspielen. Allerdings müsstest du als Nutzer das Update noch manuell anstoßen, also per Klick bestätigen. Dieses Szenario ist, wenn auch nicht praktiziert, dennoch theoretisch möglich.

Bild © crissxcross

Homee Smart Home Zentrale aus Bausteinen

Was sagt Codeatelier?

In unserer Kooperation mit AV-TEST geht es in keinem Fall darum, die Smart Home Anbieter „in die Pfanne“ zu hauen – denn Sicherheitslücken baut niemand bewusst ein. Wir freuen uns, wenn Hersteller den Test als konstruktive Kritik sehen und diesen als Grundlage nehmen um die Lücken zu schließen. Wir haben auch Codeatelier mit den Ergebnissen des Tests konfrontiert und folgende Antwort erhalten:

„Wir müssen uns zunächst bei Chris und den Testern von AV-TEST bedanken. Wir werden die Hinweise in das große Update für homee direkt einfließen lassen. Leider haben wir unseren Nutzern dieses Update schon sehr lange versprochen und konnten das Versprechen bisher nicht halten. Damit die neue Version homee wirklich auf ein neues Level hebt, haben wir sehr viele Anpassungen am Gesamtsystem, dem Core des Brain Cubes, vorgenommen. Die Änderungen waren so umfangreich, dass wir keine Teilupdates für das aktuelle System mehr durchführen konnten. Mit dem Update werden wir das System der Authentifizierung vereinfachen und gleichzeitig verstärken. Außerdem werden wir auch die Verschlüsselung innerhalb des eigenen Netzwerks forcieren. Aktuell befinden wir uns in einer geschlossenen Beta-Phase, die wir mit ausgewählten Nutzern durchführen. Diese Beta-Phase wollen wir sobald wie möglich für alle unsere Nutzer zugänglich machen, damit wir möglichst viel Feedback bekommen, das wir dann in die offizielle Version einfließen lassen können. Wir hoffen, dass Siio homee auch nach dem Update wieder testen wird und allen Lesern von den neuen Funktionen berichtet!“

– Jochen Schöllig, CEO von Codeatelier

Fazit

Eine Nutzerauthentifizierung ist implementiert und auch die Kommunikation wird extern verschlüsselt. Im lokalen Netz leider nicht, was Homee keinen Schutz gegen Angriffe aus dem lokalen Netz bietet. Das Fazit von AV-TEST:

Lückenhafte Verschlüsselung spielt Angreifern in die Hände.

In der Regel sollte das lokale Netz durch WLAN Passwörter und andere Mechanismen abgesichert sein. Dennoch besteht auch hier die Möglichkeit, über einen Angriff oder Sicherheitslücken des Routers in das Netz zu gelangen – daher müssen die Jungs von Codeatelier hier noch einmal nachbessern. Ob die Sicherheit im angekündigten „großen Update“ wirklich verbessert wurde? – wir werden berichten!

Das AV-TEST Protokoll findest du hier zum Download.

Diesen Blogpost hat geschrieben ...

crissxcross

crissxcross

Chris, Gründer und Blogger von siio.
Gelernter IT-Systemelektroniker, seit vielen Jahren beruflich als Produktmanager im Smart Home unterwegs. Technikverliebter Familienvater, Apple Fan. Nach einigen Jahren Stadtleben wieder froh auf dem Land zu sein.

5 Kommentare

    • Hallo Karl!

      Wir arbeiten ganz intensiv daran, dass wir euch schon bald auch den orangen ZigBee Cube liefern können. Das Vereinen verschiedener Standards ist und bleibt auch unser Ziel ;)
      Danke für dein Feedback!

      LG
      Katha (von Codeatelier)

  • Hallo Siio-Team,

    > Über diesen Mechanismus ist ein sogenannter “Man-in-the-middle” Angriff möglich

    Diese Aussage ist nicht korrekt. Durch ARP/DNS-Spoofing kann man zwar schnell die Verbindungsanfragen umleiten, das wars dann aber auch schon, denn die Private-Keys sind nicht bekannt und für eine Man-in-the-Middle Attacke wäre hier insbesondere der Private-Key vom Client (Homee-Cube) notwendig, denn die Homee SSH-Verbindungen verwenden keine Username/Passwort- sondern eine Public-Key-Authentifizierung und der Server lässt auch keine SSH v1 Verbindungen zu, die einfach zu knacken wären.

    Da scheinen die Jungs vom AV-Test nicht richtig getestet zu haben oder auf halber Strecke aufgehört zu haben, denn in der Praxis funktioniert ihr Man-in-the-Middle Szenario im Homee-Setup nicht.

    Gruss

    Inso

  • Hallo Inso,

    mein Name ist Maik Morgenstern und ich bin bei AV-TEST GmbH unter anderem für die Smart Home Tests zuständig.

    Sie haben mit Ihrem Kommentar natürlich recht. So wie wir das aufgeschrieben haben, ist es stark verkürzt und es kann ein falscher Eindruck entstehen. Daher möchte ich nochmal etwas ausführlicher auf unsere Beobachtungen eingehen:

    Es ist richtig, dass anfangs die Public-Key-Methode für den Login gewählt wurde und hier ein Angriff z.Zt. nicht sinnvoll möglich ist. Wir haben in der Folge aber auch Login Versuche beobachtet, bei denen das Public-Key Verfahren umgangen wurde und der Loginversuch mit Nutzername und Passwort stattfand. Entsprechende Logdateien/Netzwerkmitschnitte haben wir natürlich gesichert und vorliegen. Hieraus leiteten wir Indizien ab dass ein Man-in-the-Middle potentiell erfolgreich sein könnte. Da wir dies jedoch nicht nachgewiesen hatten, ging dies natürlich nicht in die Bewertung ein. Da es aber aus unserer Sicht ein potentielles Problem darstellte, haben wir darauf hingewiesen, mit dem Zusatz, dass dies eine Vermutung/Spekulation ist.

    Ich verstehe, dass das aus der Formulierung im Text nicht hervorgeht. Hier wird der Spagat versucht, möglichst einfach und anschaulich Probleme auch für den normalen Nutzer aufzuzeigen, aber gleichzeitig kurz und korrekt zu bleiben. Das ist dann an dieser Stelle nicht ganz gelungen. Wir werden uns bemühen, das in Zukunft eindeutiger zu formulieren.

    Sollten noch Fragen bestehen, lassen Sie es mich wissen und wir können das über einen anderen Kanal weiter diskutieren.

    Mit freundlichen Grüßen,

    Maik Morgenstern

Gib deinen Senf dazu!