Nachdem wir bereits die Beleuchtungssysteme Philips Hue und IKEA TRÅDFRI getestet haben, wird es Zeit, sich dem dritten Branchenriesen in der „Liga des Lichts“ zu widmen und zu sehen, ob er der Konkurrenz Paroli bieten kann. Das System Osram Lightify (aka Sylvania Smart+) beinhaltet ebenfalls ein Gateway, diverse Leuchtmittel und auch weitere Features.

Ersteinrichtung/Gerätekopplung

Im Gegensatz zu Hue und TRÅDFRI muss zur Nutzung von Lightify vom User zunächst ein Osram Lightify-Account angelegt werden. Denn bei der erstmaligen Einrichtung wird das Gateway nicht mit der App, sondern mit dem besagten Osram Lightify-Account gekoppelt. Möchte man weitere Smartphones koppeln, benötigt man für das Login ebenfalls den Lightify-Account, während zusätzliche Lampen für das Pairing einfach nur eingeschaltet werden müssen. Eine Gerätesuche kann über die App gestartet werden.

Applikation

Für unsere App-Analyse haben wir „Lightify” aus dem Google Play Store (https://play.google.com/store/apps/details?id=com.osram.lightify) heruntergeladen und installiert. Wie auch bei den anderen bereits in diesem Blog getesteten Smart Home-Beleuchtungssystemen hätten wir uns gefreut, wenn ein Überblick über die an der Basis registrierten Smartphones möglich gewesen wäre. Der dekompilierte Quellcode der App ist teilweise verschleiert: Bei den Klassennamen sah es so aus, als hätten sie alle ihre ursprünglichen Namen, die Methoden waren jedoch alle verschleiert. Sicherheits-Features wie z.B. Certificate Pinning kommen bei der App nicht zum Einsatz und die Speicherung in den SharedPreferences des Nutzers (z.B. Passwörter und Usernamen) kann man bestenfalls als pseudo-sicher bezeichnen. Zwar sind die XML-Dateien in dem privaten App-Speicher abgelegt (und andere Apps können standardmäßig nicht darauf zugreifen), aber mithilfe von Malware für Mobilgeräte kann das Smartphone des Nutzers gerootet und alle Daten eingesehen werden. Die Entschlüsselung lässt sich relativ leicht vornehmen, da Osram eine „Crypto“-Implementierung von Arrayent einsetzt (siehe weiter unten). Dieser Code verwendet nur eine einfache passwortbasierte Verschlüsselung auf Basis des DES-Algorithmus und kann leicht rekonstruiert werden, wie die folgende Abbildung zeigt.

Rekonstruiertes Entschlüsselungs-Tool für die Osram App
Rekonstruiertes Entschlüsselungs-Tool für die Osram App

Online-Kommunikation

Osram lässt die Online-Kommunikation über die Plattform Arrayent Connect laufen. Diese verwendet QUIC und damit ein experimentelles Protokoll auf UDP-Basis, welches standardmäßig mit TLS 1.3 absichert, zur Verschlüsselung jeglicher Kommunikation.

Online-Kommunikation über QUIC
Online-Kommunikation über QUIC

Was wir auch getestet haben ist die Eignung von Osrams Lightify für Amazon Echo. Der Registrierungsprozess ist etwas umständlich, da dafür nicht nur das Lightify-Login, sondern auch die Seriennummer des Lightify-Gateways benötigt wird. Die Kommunikation zwischen Alexa und dem Lightify-Gateway läuft nach dem gleichen Schema ab wie die zwischen App und Cloud und ist folglich auch als sicher einzustufen.

Lokale Kommunikation

Wie im Fall von Philips Hue ist die lokale Kommunikation mit dem Lightify-Gateway komplett unverschlüsselt, findet aber über ein Binärprotokoll statt. Einzelheiten zu dem besagten Protokoll sind hier zu finden.

Lokale Kommunikation im Binärformat
Lokale Kommunikation im Binärformat

Ein Service wartet auf die von der App über den TCP-Port 4000 gesendeten Befehle. Wir fragen uns, warum Osram bei der lokalen Kommunikation keine Authentifizierung implementiert hat – mit dem Plug-in python-lightify konnten wir die Lampen lokal steuern, ohne uns eingeloggt zu haben.

Datenschutz

Um die App nutzten zu können, muss ein Osram Lightify-Account angelegt werden. Bei der Registrierung werden erfreulich wenige Informationen benötigt, und zwar nur die E-Mail-Adresse und ein Passwort des Nutzers. Sobald sich ein Nutzer registriert, werden Informationen zu dem Gerät, auf dem die App installiert ist, an Osram weitergeleitet, ebenso die öffentliche IP-Adresse und die Version und Konfiguration der Lightify-Geräte. Die erfassten Daten werden zur Aufrechterhaltung und zur Verbesserung der App-Dienste verwendet (sowie zu Marketingzwecken, sollte dies in den App-Einstellungen aktiviert sein). Außerdem ist ein Tracker in die App integriert, mit dem zusätzlich pseudonymisierte Daten gesammelt werden; dieser Tracker kann jedoch in den Einstellungen der App deaktiviert werden. In der Datenschutzerklärung erhalten Nutzer Zusatzinformationen über die Datenverarbeitung außerhalb der EU (in der Schweiz und den USA) und Angaben zur Kontaktadresse für datenschutzrechtliche Bedenken (dabei handelt es sich um die des Chief Data Protection Officer, CDPO, und damit des Konzerndatenschutzbeauftragten von Osram Deutschland)

Die Berechtigungen der Android-App bewegen sich im Bereich des Notwendigen und ihr Zweck wird in der Datenschutzerklärung auch eindeutig beschrieben:

  • Kamera (optional, zum Einscannen des QR-Codes des Lightify-Gateways)
  • Standort (optional, zur Aktivierung der Geofencing-Funktion, nicht in der Cloud gespeichert)
  • WLAN (erforderlich für die Kommunikation mit dem Gateway)
App-Berechtigungen
App-Berechtigungen

Fazit

Im Gegensatz zu den Lösungen der Konkurrenz verlangt Osram Lightify ein Nutzerkonto zur Steuerung der Beleuchtung. Somit bedarf es keiner zusätzlichen Konfiguration, um für einen abgesicherten Fernzugriff zu sorgen. Im lokalen Netzwerk hingegen erfolgt die Kommunikation ohne jegliche Verschlüsselung, was heutzutage ein völliges No-Go sein sollte, wie bereits in unserem Philips Hue Test erwähnt. Sobald Osram seine Lösung hinsichtlich dieses Problems verbessert hat, kann man davon ausgehen, dass unsere Testbewertung auch von zwei auf drei Sterne steigen wird.