homee zählt wohl zu den wenigen Smart Home Zentralen mit dem WAF. Doch wie steht es um die IT-Sicherheit mit homee? Wir haben die bunten Smart Home Würfel mal zu AV-TEST geschickt. Ob sicher oder nicht, ließt du hier.
Neben einem schicken Aussehen, kann homee auch mit einer einfachen, gut strukturierten Oberfläche punkten, sowie einer breiten Interoperabilität. Die Basis bildet der mit WLAN ausgestattete weiße Brain Cube. Erweitert werden kann dieser mit dem (lila) Z-Wave und dem (türkis) Farben EnOcean Würfel. Bald gibt es zudem auch den (orangen) Zigbee Würfel. (Ich hatte hier den homee schon einmal ausführlich vorgestellt).
Homee Smart Home Zentrale und Würfel
Was wurde getestet?
Wir haben Homee von dem Institut für IT-Sicherheit: "AV-TEST" prüfen lassen. Genau unter die Lupe genommen wurden dabei:
- Verschlüsselte Kommunikation - es wurde geprüft ob die, zwischen der Smartphone App und dem Homee Cube stattfindende Kommunikation vollständig verschlüsselt ist
- Verschlüsselte Verbindungen abgesichert - hierbei wurden zusätzliche Sicherheitsfunktionen geprüft, die eine Kompromittierung der Kommunikation, trotz angewendeter Verschlüsselung, verhindern.
- Aktive Authentifizierung - sind die Funktionen zur Fernsteuerung durch Benutzerberechtigungen geschützt?
- Manipulation durch Externe - es wurde geprüft, inwieweit unberechtigte Dritte Zugriff auf Daten oder Funktionen von außen erlangen könnten, sowie auch über das lokale Netz.
- Gesicherte Fernsteuerung - wie gut ist die Kommunikation bei einem Fernzugriff, also aus dem Internet auf das eigene Smart Home abgesichert?
Lokaler - und Fernzugriff
Der Brain Cube wird mit deinem WLAN verbunden, kann aber auch ein eigenes WLAN Netz im Accesspoint Modus aufbauen. Die Smartphone App verbindet sich automatisch nach dem scannen des QR-Codes, mit dem homee Brain Cube. Aber birgt vielleicht genau diese Einfachkeit eine Sicherheitslücke?
Wenn du deine homee Smartphone App startest, fragt diese in deinem Netzwerk nach dem Brain Cube und dieser antwortet. Danach tauschen beide Informationen aus und dies unverschlüsselt. Das heißt es ist möglich, die Zugangsdaten mitzulesen.
Doch was ist, wenn man von unterwegs auf sein Smart Home zugreifen möchte?
Im ersten Moment scheint es so, als wenn die Login-Daten im Klartext übermittelt werden, denn die Webseite (home.ee/login) ist unverschlüsselt. Aber danach große Erleichterung! Alle Daten werden per HTTPS und damit abgesichert versendet. Über die Webseite greift die SSL-Verbindung, in Android und Windows die entsprechenden Mechanismen des Browsers.
Für den Fernzugriff auf Seiten des homee (Brain Cube) wird SSH verwendet. Hier war es dem Team von AV-TEST möglich, diesen Zugriff auf einen eigenen Server umzuleiten. homee hat den fremden Server akzeptiert und sich versucht anzumelden. Über diesen Mechanismus ist ein sogenannter "Man-in-the-middle" Angriff möglich, bei welchem es theoretisch möglich wäre die Zugangsdaten abzufangen.
Firmwareupdate
Seit einiger Zeit kündigt Codeatelier (die Macher von Homee) das "große Update" an. Vor kurzem wurde ein kleineres Update mit der Versionsnummer: 1.0.688 veröffentlicht, welches eine Vorbereitung auf das geplante "große Update" bildet. Die notwendige Datei wird allerdings unverschlüsselt heruntergeladen. Theoretisch könnte ein Angreifer dem Homee ein neues Update vorgaukeln und seine eigene manipulierte (infizierte) Firmware aufspielen. Allerdings müsstest du als Nutzer das Update noch manuell anstoßen, also per Klick bestätigen. Dieses Szenario ist, wenn auch nicht praktiziert, dennoch theoretisch möglich.
Homee Smart Home Zentrale aus Bausteinen
Was sagt Codeatelier?
In unserer Kooperation mit AV-TEST geht es in keinem Fall darum, die Smart Home Anbieter "in die Pfanne" zu hauen - denn Sicherheitslücken baut niemand bewusst ein. Wir freuen uns, wenn Hersteller den Test als konstruktive Kritik sehen und diesen als Grundlage nehmen um die Lücken zu schließen. Wir haben auch Codeatelier mit den Ergebnissen des Tests konfrontiert und folgende Antwort erhalten:
„Wir müssen uns zunächst bei Chris und den Testern von AV-TEST bedanken. Wir werden die Hinweise in das große Update für homee direkt einfließen lassen. Leider haben wir unseren Nutzern dieses Update schon sehr lange versprochen und konnten das Versprechen bisher nicht halten. Damit die neue Version homee wirklich auf ein neues Level hebt, haben wir sehr viele Anpassungen am Gesamtsystem, dem Core des Brain Cubes, vorgenommen. Die Änderungen waren so umfangreich, dass wir keine Teilupdates für das aktuelle System mehr durchführen konnten. Mit dem Update werden wir das System der Authentifizierung vereinfachen und gleichzeitig verstärken. Außerdem werden wir auch die Verschlüsselung innerhalb des eigenen Netzwerks forcieren. Aktuell befinden wir uns in einer geschlossenen Beta-Phase, die wir mit ausgewählten Nutzern durchführen. Diese Beta-Phase wollen wir sobald wie möglich für alle unsere Nutzer zugänglich machen, damit wir möglichst viel Feedback bekommen, das wir dann in die offizielle Version einfließen lassen können. Wir hoffen, dass Siio homee auch nach dem Update wieder testen wird und allen Lesern von den neuen Funktionen berichtet!“
- Jochen Schöllig, CEO von Codeatelier
Fazit
Eine Nutzerauthentifizierung ist implementiert und auch die Kommunikation wird extern verschlüsselt. Im lokalen Netz leider nicht, was Homee keinen Schutz gegen Angriffe aus dem lokalen Netz bietet. Das Fazit von AV-TEST:
Lückenhafte Verschlüsselung spielt Angreifern in die Hände.
In der Regel sollte das lokale Netz durch WLAN Passwörter und andere Mechanismen abgesichert sein. Dennoch besteht auch hier die Möglichkeit, über einen Angriff oder Sicherheitslücken des Routers in das Netz zu gelangen - daher müssen die Jungs von Codeatelier hier noch einmal nachbessern. Ob die Sicherheit im angekündigten "großen Update" wirklich verbessert wurde? - wir werden berichten!
Das AV-TEST Protokoll findest du hier zum Download.