Wir freuen uns, die MCVisu.cloud Lösung der rc-tec GmbH in die Reihe zertifizierter Produkte aufnehmen zu können. Im Rahmen des Zertifizierungstests haben wir die Lösung, die es ermöglicht, die Gefahrenmelde- und Zutrittsanlage ABI MC1500 via Smartphone zu steuern, auf Herz und Nieren geprüft. Getestet wurde die dazugehörige App, MCVisu.cloud in der Version 1.0.6, sowie die Cloud-Anbindung des ABI Alarmsystems. Die Sicherheit der Anlage an sich (Sabotage, Manipulation von Ausweis-Chips etc.) wurde nicht betrachtet.
App
Sowohl statische als auch dynamische Analyse konnten keine Schwachstellen in der Android App entdecken. Da der Code der App nicht obfuskiert ist, konnten unsere Tester relativ einfach einen Blick auf die Funktionsweise der App werfen. Beispielsweise über die Art und Weise der Zertifikatsvalidierung:
Die App validiert die zur Kommunikation genutzten Zertifikate aktuell „nur“ hinsichtlich ihrer Gültigkeit und Vertrauenswürdigkeit, sodass die Kommunikation ohne Direktzugriff auf das Gerät nicht belauscht oder manipuliert werden kann. Laut Herstellerinformationen wird an dieser Stelle in Zukunft auch auf Certificate Pinning gesetzt. Hierdurch wird geprüft, ob es sich bei dem bereitgestellten Zertifikat um das erwartete handelt. Jegliche anderen Zertifikate werden ignoriert, sodass keine Kommunikation stattfindet. Hierdurch werden Man-in-the-Middle Angriffe wirksam verhindert. Weiterhin wird in den nächsten Versionen auch der Code obfuskiert, sodass das Nachvollziehen der Funktionsweise der App weiter erschwert wird.
Die iOS-App ist hinsichtlich User Interface und Kommunikationsverhalten identisch zur Android-App und daher ebenso gut abgesichert.
Online Kommunikation
Im Test wurde von uns keine Direktkommunikation zwischen App und Alarmsystem beobachtet. Die Internetkommunikation des ABI MC1500 Systems ist zu jeder Zeit verschlüsselt. Aufgrund dessen, dass eine stetige Kommunikation zwischen Alarmsystem und Cloud stattfindet, wird von einer Art VPN-Tunnel ausgegangen. Hierbei waren keine offensichtlichen Schwachstellen auszumachen. Auch die Kommunikation der App ist vollständig verschlüsselt und liefert keine Hinweise auf mögliche Schwachstellen. In Bezug auf den Login an der Cloud wurde auch geprüft, wie die App sich bei einem Man-in-the-Middle Angriff verhält. Gegen einfache Angriffe ist die App adäquat abgesichert. Sobald das zum Mitm-Tool gehörende CA-Zertifikat auf dem Smartphone installiert war, konnte die Kommunikation allerdings belauscht und manipuliert werden. Dies wird von uns nicht negativ gewertet, da der direkte Gerätezugriff einem Angreifer immer gewisse Möglichkeiten gibt, abseits von Man-in-the-Middle Angriffen. Weiterhin informierte uns der Hersteller, wie oben bereits benannt, dass Certificate Pinning für die kommenden Versionen geplant ist.
Datenschutz
Die Datenschutzerklärung ist sowohl über die iOS/Android App als auch die zugehörigen Appstores sowie auf der Produktwebsite verfügbar. Sie ist leicht verständlich geschrieben und informiert den Benutzer klar darüber, welche Daten zu welchem Zweck verarbeitet werden.
Der Nutzer wird adäquat informiert, beispielswiese werden Standortdaten erhoben, wenn die Bedienung der Alarmanlage auf bestimmte Regionen eingeschränkt ist. Diese Daten werden für maximal 4 Wochen gespeichert. Weiterhin werden Benutzername, Passwort und Daten der Alarmanlage gespeichert.
Die Android App beschränkt sich auf minimale Berechtigungen:
Fazit
Die MCVisu.cloud Lösung des österreichischen Herstellers rc-tec bietet eine sowohl sichere, als auch datenschutzfreundliche Lösung, sein ABI MC1500 Alarmsystem via Smartphone App zu steuern. Die aktuell in Entwicklung befindlichen Versionen bieten außerdem einen Ausblick auf eine auf alle Herausforderungen vorbereitete App. Aus diesem Grund erhält die Lösung das AV-Test Zertifikat „Geprüftes Smart Home Produkt“