„Nie wieder ausgesperrt: Denn Sie schließen Ihre Haustür einfach per Fingertipp auf! Alternativ öffnen Sie Ihr Türschloss per Smartphone-App oder Transponder“, bewirbt VisorTech sein Smart Lock. Doch leider funktioniert das Öffnen des Smart Locks all zu einfach. Um Türen, in denen das VisorTech-Schloss verbaut ist zu öffnen, brauchen Angreifer nur die unverschlüsselt auf dem mitgelieferten Transponder gespeicherten Zugangsdaten mit einer Gratis-App zu kopieren, schon öffnet das Smartphone fremde Türen. Auf den Hinweis zur Unsicherheit des Transponders durch das AV-TEST Institut hat Pearl mittlerweile reagiert und will neue Schlösser mit Transpondern ausstatten, bei denen die aufgedeckte Sicherheitslücke gefixt wurde. Ob Kunden bisher verkaufter Schlösser informiert werden und sichere Transponder erhalten, lässt der Anbieter auf Nachfrage allerdings offen. Da das VisorTech TSZ-580.fp in puncto Sicherheit auch sonst alles andere als smart ist, hat sich das AV-TEST Institut entschlossen, vor dessen Einsatz zu warnen.
Hersteller vorab informiert
Smarte Türschlösser sind extrem praktisch, weisen allerdings auch einige Angriffsvektoren mehr auf als konventionelle Schließsysteme. Im schlimmsten Fall kann ein unsicheres Smart Lock überwunden werden, ohne dass der Angreifer dafür nur physischen Zugriff benötigt. In solchen Fällen wird es zudem schwierig, den Einbruch anschließend zu belegen, da entsprechende physische Spuren fehlen. Auch wenn Produkte dieser Kategorie in vergangenen Tests durchaus adäquate Sicherheit vorweisen konnten, gibt es auch weniger gute Kandidaten mit eklatanten Sicherheitsmängeln, die Angreifern Tür und Tor öffnen. Zu dieser Kategorie gehört das VisorTech TSZ-580.fp.
Nachdem das Schloss im IoT-Labor von AV-TEST schwere Sicherheitsmängel offenbarte, entschloss sich AV-TEST im Rahmen des Responsible Disclosure-Verfahrens, die Veröffentlichung des Testberichts für zwei Monate zurück zu halten und Hersteller VisorTech bzw. dessen Vertriebspartner Pearl zu informieren. Ziel von „Responsible Disclosure“ ist es, Nutzer betroffener Produkte nicht in Gefahr zu bringen und Herstellern ausreichend Zeit für Sicherheits-Updates oder andere, der Situation angemessene Reaktionen zu geben. Dementsprechend informierte AV-TEST die Pressestelle von Pearl am 29. Mai 2019 über gefundene Sicherheitslecks beim VisorTech TSZ-580.fp. Auf den Hinweis von AV-TEST reagierte Pearl am 25. Juli mit Modifzierungen des Transponders. AV-TEST prüfte das von Pearl zur Verfügung gestellte Gerät und bestätigt, dass zumindest das einfache Kopieren von Zugangsdaten per App in diesem Testgerät nicht mehr möglich war. Alle anderen hier im Test angeführten Sicherheitslecks waren im Nachtest dagegen weiterhin existent.
Welche Probleme das VisorTech TSZ-580.fp aufweist und warum das AV-TEST Institut vor dem Einsatz des Smart Locks warnt, erläutert der folgende Testbericht.
Schwachstelle Transponder (lokale Kommunikation)
Die offensichtlichste Schwachstelle des VisorTech-Schlosses sind die mitgelieferten Transponder. Über diese lässt sich das Schloss, das sonst per Fingerabdruck oder durch Einsatz der Smartphone-App geöffnet wird, ebenfalls entriegeln. Die Transponder und die darauf gespeicherten Daten sind allerdings vollkommen ungeschützt auch von Dritten auslesbar: Im AV-TEST Labor ließen sich so, problemlos mit frei verfügbaren Apps per NFC, die am Schloß registrierten Transponder innerhalb von Sekunden kopieren und emulieren. Auf diese Weise kann dann jedermann das dazugehörige VisorTech TSZ-580.fp problemlos öffnen. Diese extrem einfach ausnutzbare Schwachstelle ermöglicht kinderleichte Angriffe und war schlussendlich ausschlaggebend für die Benachrichtigung des Herstellers durch das AV-TEST Institut.
Nutzern, die dieses Schloss im Einsatz haben, wird empfohlen, bis auf Weiteres auf den Einsatz der Transponder zu verzichten, solange der Hersteller diese Gefahr nicht nachweisbar beseitigt hat.
Doch die unverschlüsselten Transponder sind bei weitem nicht die einzigen Sicherheitsmängel des VisorTech-Produkts.
Unsichere App
Die Analyse der mobilen Applikationen (Android und iOS) förderte bereits in den ersten Prüfschritten Auffälligkeiten zutage. So ist etwa der wesentliche Teil der App, zumindest die Hauptfunktionalität, vollständig in der Programmiersprache C geschrieben und wird durch sogenannte Shared Objects (.so) in eine JAVA Stub eingebunden, um auf Android lauffähig zu sein. Funktionsaufrufe (über sogenannte natives) sind innerhalb der Stub-App obfuscated. Fraglich ist, ob diese Umsetzung aus sicherheitstechnischen Gründen gewählt wurde, zumal so auch das Patchen der App verhindert oder zumindest stark eingeschränkt wird. Einige offensichtliche Schwachstellen der Applikation, für deren Identifizierung ein tieferes Reverse-Engineering überhaupt nicht notwendig ist, lassen an dieser Absicht berechtigte Zweifel aufkommen.
So enthält die Android-Applikation etwa diverse Implementierungsfehler, darunter sogenannte implizite Intents und öffentliche Content Provider. Mit deren Hilfe ist es Dritt-Applikationen möglich, auf Daten der App zuzugreifen und so an möglicherweise sensible Informationen zu gelangen. Zudem scheint die Implementierung verschlüsselter Verbindungen fehlerhaft zu sein. Dazu aber mehr im entsprechenden Abschnitt zur Online-Kommunikation. Erschwerend kommt hinzu, dass die App die zur Einrichtung und Verbindung zwischen Schloss und Smartphone nötigen QR-Codes ungesichert als JPG-Bild auf der SD-Karte des Test-Smartphones ablegte.
Davon abgesehen sichert sich die App teilweise kritische Berechtigungen auf Nutzer-Smartphones. Diese erlauben beispielsweise unbemerkt im Hintergrund Prozesse zu starten und zu beenden, ohne dass der Nutzer darüber informiert wird. Im Test war zudem zu beobachten, dass selbst bei geschlossener Hauptanwendung Prozesse im Hintergrund über das Internet kommunizierten und dabei Daten an fernöstliche Domains wie „ipush“ und „alibaba“ übertrugen – klassische Datensammlung also.
Unverschlüsselte Online-Kommunikation
Auch die Online-Kommunikation der mobilen Applikationen wurde analysiert. Dabei konnten im Test-Labor eine Vielzahl unverschlüsselter HTTP-Verbindungen beobachtet werden. Besonders kritisch fiel auf, dass selbst der Login-Prozess über das unverschlüsselte Internet-Protokoll lief. Dabei wurden zwar Account-Daten wie Nutzername und dazugehörige Passwort nicht in Klartext übertragen – die Daten wurden immerhin verschleiert – allerdings ließen sich diese Daten abfangen und Authentifizierungsversuche nutzen. Da bei fehlgeschlagenen Authentifizierungsversuchen keinerlei Zeitsperre eingriff, lassen sich diese Daten beispielsweise erfolgreich für klassische Replay-Angriffe verwenden. Weder App noch Online-Dienst sehen Zeitsperren nach mehreren gescheiterten Eingabeversuchen vor. Somit können Angreifer Login-Daten abfangen und den Login-Vorgang erfolgreich durchführen.
Datenschutz nicht berücksichtigt
In der Datenschutzerklärung von App und Onlinedienst des VisorTech-Schlosses setzen sich die Mängel fort. Die Datenschutzerklärung bezieht sich nicht, wie rechtlich notwendig, auf das Produkt und mehrere Punkte im Bereich „App“ und „Externe Kommunikation“ lassen zweifelhafte Datenschutzpraktiken vermuten. Ein Zitat der Datenschutzerklärung, die in Googles Playstore zudem fälschlicherweise auf die chinesische Version verlinkt, verdeutlicht den laxen Umgang des Herstellers mit gesetzlichen Mindestgrundlagen: „Ohne die Privatsphäre einzelner Benutzer preiszugeben, behalten wir uns das Recht vor, die gesamte Benutzerdatenbank zu analysieren und die Benutzerdatenbank kommerziell zu nutzen.“
Fazit: Warnung VisorTech TSZ-580.fp
Neben der Gefahr durch unverschlüsselte Transponder-Daten, die es jedem Angreifer, der ein Smartphone bedienen kann und kurzen Zugang zu einem registrierten Transponder hat, erlauben das VisorTech-Schloss zu öffnen, weist das Smartlock auch aufgrund der unverschlüsselten Datenübertragung, mangelhaften Authentifizierung, unsicheren Speicherung von Daten sowie nicht datenschutzkonformen Umgang mit Nutzerdaten erhebliche Mängel auf. Darum rät das AV-TEST Institut vom Einsatz des VisorTech TSZ-580.fp ab. Die in diesem Testbericht beschriebenen Mängel wurden lediglich im Rahmen eines Quick-Checks ermittelt. Es ist davon auszugehen, dass bei intensiverer Prüfung weitere Sicherheitsmängel zu Tage treten.
Der deutsche Anbieter Pearl, der das Smartlock auf Anfrage von AV-TEST zur Verfügung stellte, wurde mit einer Frist von zwei Monaten über das Sicherheitsproblem durch den Einsatz unverschlüsselter Transponderdaten informiert und um Nachweis gebeten, sobald diese unmittelbare Gefahr beseitigt ist. Im Rahmen der zweimonatigen Selbstverpflichtung zur Nichtveröffentlichung erreichte uns eine revidierte Version des Schlosses von Pearl. Bei diesem war zumindest die gemeldete Sicherheitslücke des Transponders beseitigt. Im Nachtest zeigte sich, dass andere in diesem Testbericht dargestellte Lücken weiterhin ein Risiko darstellen. Ebenso ließ der Hersteller offen, ob er schon verkaufte Geräte zurückruft oder zumindest die Käufer benachrichtigt. Aus diesem Grund veröffentlicht das AV-TEST Institut diesen Prüfbericht nun, um Nutzer des VisorTech TSZ-580.fp zu warnen. Wer das mangelhafte Schloss weiter nutzen will, sollte zumindest auf den Einsatz der Transponder verzichten.
Deswegen kann die Bewertung nicht über 0 von 3 Sternen liegen.
Pingback: VisorTech: Einbau - Konfiguration - Sicherheit: Was taugt das elektronische Codeschloss?