Bereits kurz nach dessen Erscheinen hatten wir 2017 das smarte Beleuchtungssystem IKEA TRÅDFRI im Sicherheitstest auf Herz und Nieren geprüft. Seither sind drei Jahre vergangen: Zeit, Rückschau zu halten und zu sehen, was sich bei diesem Produkt getan hat. Kann man das inzwischen in IKEA Home smart umbenannte und mit einem größeren Produktportfolio versehene System weiterhin als sichere Smart Home Lösung empfehlen? Sie erfahren es im folgenden Testbericht.
In den vergangenen Jahren hat IKEA sein Smart Home Programm stetig gepflegt und ausgebaut. Neben zahlreichen Leuchtmitteln sind nun auch Rollos sowie Smart Speaker beim schwedischen Möbelriesen verfügbar. Die Smart Speaker wurden zusammen mit Sonos entwickelt. Der Sonos Play:1 stand hier nicht nur Modell, sondern war auch bereits bei uns im Sicherheitstest.
Setup
Im Gegensatz zur Einrichtung anderer Smart Home Systeme, erfolgt bei IKEA Home smart keinerlei Registrierung. Nachdem das TRÅDFRI Gateway an den Strom angeschlossen und per Ethernet-Kabel mit dem Netzwerk verbunden ist, kann der Benutzer das Gateway durch das Scannen des am Gateway angebrachten QR-Codes zur App hinzufügen. Dieser enthält sowohl die MAC-Adresse als auch einen Sicherheitscode, welcher in der fortwährenden Kommunikation zur Verschlüsselung eingesetzt wird.
Nach dem durch die App geführten Hinzufügen der gewünschten Geräte ist das System direkt einsatzfähig. Zum Testzeitpunkt gibt es noch keine Möglichkeit des Fernzugriffs. Andere Lösungen wie Homematic IP zeigen aber, dass auch Online-Zugriff ohne jegliche Registrierung möglich ist – wir hoffen daher, dass IKEA auf ähnliche Mittel zurückgreift, falls dies einmal implementiert werden sollte.
Lokale Kommunikation
Die Steuerung des Systems muss nicht zwingend über die verfügbare Android– bzw. iOS-App erfolgen. Die Leuchtmittel können beispielsweise auch direkt über die Fernbedienung oder Bewegungsmelder angesteuert werden.
Das per App ansteuerbare TRÅDFRI Gateway ermöglicht eine genaue Kontrolle der Lichtfarbe und -helligkeit, das Setzen von Timern, das Gruppieren von Geräten in Räume und das Andocken an Amazon Alexa bzw. Google Assistant.
Die Kommunikation zwischen Android/iOS App und dem Gateway findet über UDP statt und ist stets DTLS1.2 verschlüsselt, einer TLS-Implementierung für UDP. Hierdurch ist die Kommunikation gegen viele Bedrohungen, wie Replay-Angriffe per Design geschützt.
Für die Kommunikation zwischen App und Gateway wird auf CoAP (Constrained Application Protocol) gesetzt, eine REST-ähnliche Schnittstelle. Diverse Open-Source-Produkte machen sich diese API zu Nutze und binden so das Ikea Home smart System in andere Smart Home Lösungen ein.
Online-Kommunikation
Beim Start des TRÅDFRI Gateways findet eine TLS1.2-verschlüsselte Kommunikation zu webhook.logentries.com statt. Dieser wird auch im laufenden Betrieb in regelmäßigen Abständen vom Gateway kontaktiert. Hinter logentries.com verbirgt sich ein Analyse-Dienst für Protokoll-Dateien, der IKEA beispielsweise eine schnellere Analyse von Fehlern ermöglicht.
Im Anschluss wird über einen unverschlüsselten Kanal auf verfügbare Firmware-Updates geprüft, welche wir in einem separaten Punkt behandeln. Internetkommunikation zu anderen Servern als den genannten fand im Rahmen des Tests nicht statt.
App
Wie im letzten Test bereits festgestellt, hat IKEA bei der Entwicklung der IKEA Home smart App gute Arbeit geleistet und von Beginn an Wert auf Sicherheit der Lösung gelegt.
Die Appdaten, die unter anderem auch den Zugang zum TRÅDFRI Gateway enthalten, sind mit Hilfe des Android KeyStores sicher in den Appdaten verschlüsselt. Daher sind sie selbst auf gerooteten Geräten relativ sicher vor Auspähung. Hierzu generiert die App ein sicheres Schlüsselpaar und speichert dies im von Android bereitgestellten KeyStore. Mit Hilfe des öffentlichen Schlüssels werden die sensiblen Informationen anschließend verschlüsselt abgelegt.
Laut statischer Analyse enthält die App weiterhin keine bekannten Tracker, überwacht also nicht jeden Handgriff des Nutzers.
Firmware-Update
Der einzige Punkt, bei dem wir uns schon im Rahmen unseres Tests 2017 eine Verbesserung wünschten, war das Firmware-Update. Wie sich gezeigt hat, hat sich in diesem Punkt leider nichts getan. Wir gehen im Folgenden dennoch etwas detaillierter auf den Updateprozess ein.
Beim Boot prüft das TRÅDFRI Gateway auf neue Firmware-Versionen sowohl für sich selbst als auch für alle per Zigbee Light Link angeschlossenen Geräte (Leuchtmittel, Fernbedienungen, Bewegungsmelder etc.) Hierzu wird die version_info.json über eine unverschlüsselte Verbindung heruntergeladen, in der Informationen zu allen aktuellen Firmware-Versionen verfügbar sind. Dies wurde von uns bereits im Test vor 3 Jahren angemerkt und stößt bei unseren Testern weiterhin auf Unverständnis: Der Webserver verfügt über einen HTTPS-Endpunkt mit korrektem Zertifikat. Weiterhin kommuniziert das Gateway TLS1.2-verschlüsselt mit einem Analysedienst – die Firmware erfüllt folglich die Voraussetzungen für verschlüsselte Internetkommunikation.
Wir haben uns die Firmware des Gateways näher angesehen. Sie enthält hauptsächlich eine ELF (Executable and Linking Format) Binärdatei (für 32bit ARM-CPU, Duo Cortex-M3) und ist signiert.
Durch die Signatur der Firmware kann das Gateway mit selbiger prüfen, ob die Firmware manipuliert wurde. Nichtsdestotrotz gibt es Angriffsmöglichkeiten, die nicht außen vor gelassen werden sollten.
Durch das Umlenken der DNS-Anfragen auf einen eigenen Server oder einen Man-in-the-Middle-Angriff könnte man beispielsweise die version_info.json verfälschen. Hierdurch könnte man sowohl eine Firmware Downgrade Attacke als auch eine Denial-of-Service Attacke durchführen. Für beide Attacken würde man die Versionsnummer der verfügbaren Firmware inkrementieren, im Fall der Downgrade Attacke dann einen Link zu einer Firmware hinterlegen, der zu einer älteren Firmware, beispielsweise mit bekannten, ausnutzbaren Schwachstellen, führt. Im Fall der DoS-Attacke würde es ausreichen, die Original-Links bestehen zu lassen und die Versionsnummer stetig zu inkrementieren. Hierdurch würde das Gateway dauerhaft durch Reboots und Firmwareinstallationen außer Gefecht gesetzt sein.
Behoben werden kann beides durch authentifizierte DNS-Antworten (Stichwort DNSSEC) und eine verschlüsselte Übertragung samt korrekter Zertifikatsvalidierung.
Im Netz lassen sich Projekte finden, die sich über die Kontakte der jeweiligen Platine Zugriff auf die Firmware verschaffen. Hierdurch ergeben sich vielfältige Möglichkeiten, Beispiellinks finden Sie im folgenden. Die Projekte benennen wir hier nur der Vollständigkeit halber – in die Wertung gehen die genutzten Methoden nicht ein.
- Heise: Trådfri: ESP8266-Lampen-Gateway
- Github: TRADFRI-Hacking
- Trammell Hudson: Trådfri Hardware Modifications
Datenschutz
Für ein System, das eigentlich kaum mit dem Internet kommuniziert, war die Datenschutzerklärung schon 2017 sehr detailliert. Inzwischen ist es auch möglich, Ikea Home smart an Amazon Alexa und Google Assistant anzukoppeln, hierzu wird eine Zugangskennung generiert, die die eindeutige Identifikation des TRÅDFRI Gateways ermöglicht.
Die aktuelle Datenschutzerklärung für das IKEA Home Smart Programm ist leicht verständlich geschrieben und informiert den Benutzer sehr detailliert über alle datenschutzrelevanten Themen. Für den Betrieb ist keinerlei Registrierung erforderlich, es werden weiterhin nur wenige personenbezogene Daten erhoben. Zu den aufgezeichneten Daten zählt die IP-Adresse und, sofern genutzt, die Zugangskennung für Amazon Alexa und Google Assistant. Zusätzlich werden Diagnoseinformationen aufgezeichnet, die beispielsweise aus technischen Informationen zum verwendeten Produkt, Smartphone und Netzwerk bestehen. Nutzungsinformationen der App werden in nicht identifizierbarer Form erfasst. Zusätzlich zu Diagnosedaten werden diese für Produktentwicklung bzw. -verbesserung und Support genutzt und maximal ein Jahr gespeichert.
Mit Partnern werden anonymisierte/pseudonymisierte Nutzungsdaten geteilt. Weiterhin findet eine Analyse der Nutzung durch Analysedienste statt, die nicht zwingend im europäischen Wirtschaftsraum sitzen, aber durch das Privacy-Shield zertifiziert sind.
Neben der vorbildlichen Datenschutzerklärung bleibt ein Punkt allerdings offen: Die Android App fordert neben der Kamera-Berechtigung (Scannen des QR-Codes zur Einrichtung des Produkts) nun auch eine Telefonberechtigung. Diese wird nicht in der Datenschutzerklärung erwähnt, wurde im Rahmen des Tests aber nicht genutzt. Man könnte vermuten, dass diese Berechtigung für die integrierten Sonos-Komponenten benötigt wird – allerdings nutzt die Sonos App diese Berechtigung nicht. Es ist an IKEA, hier Aufklärung zu leisten.
Fazit
Der schwedische Möbelgigant hat trotz des günstigen Preises nicht am Budget für die Sicherheit des Produktes gespart. Das an sich sichere Produkt wird durch den Download der Firmware über HTTP etwas getrübt, auch wenn das Gefahrenpotential im Privathaushalt vermutlich nicht nennenswert ist. In Haushalten mit erhöhtem Sicherheitsbedarf empfehlen wir die Nutzung eines separaten Netzwerks/VLANs.