Ein weiteres Produkt aus der Kategorie Smart Home wurde in unserem Zertifizierungsprozess auf seine Sicherheit in den Bereichen Online/Lokale Kommunikation, Applikationssicherheit und Datenschutz geprüft – das Security Kit LUPUSEC XT1+. Im Folgenden soll erläutert werden, warum es sich dabei das Zertifikat „Geprüftes Smart Home Produkt“ redlich verdient hat.
Applikation
Zum Test haben wir uns die vom Hersteller Lupus-Electronics zur Verfügung gestellten, zum Testzeitpunkt aktuellsten BETA-Versionen der dazugehörigen Android- und iOS-Applikationen angesehen (Android v3.0.0.1407 & iOS v3.0.0.7). Naturgemäß wird dabei die Android-Version von uns deutlich detaillierter analysiert, da Android als weniger restriktives Betriebssystem grundsätzlich eine größere Angriffsfläche bietet. Im Falle der LUPUSEC Android-Applikation konnten wir allerdings keine ernstzunehmenden Schwachstellen ausmachen: Der Quellcode ist durch Obfuscation geschützt, wodurch ein Reverse-Engineering potentiell sicherheitsrelevanter Funktionen deutlich erschwert wird. Die Nutzerdaten, die lokal auf dem Smartphone abgelegt werden, sind vollständig verschlüsselt und sind somit auch auf Smartphones mit root-Rechten adäquat gegen Zugriff nicht authorisierter Drittapplikationen geschützt. Weiterhin scheinen auch die Implementationen kritischer Funktionen, beispielsweise für die verschlüsselte Kommunikation, keine programmiertechnischen Schwachstellen aufzuweisen, die leicht auszunutzen wären. Alles in allem eine sehr solide Vorstellung!
Lokale Kommunikation
Im Bereich der lokalen Kommunikation, also der Kommunikation zwischen App und Basis über beispielsweise das lokale W-LAN, konnten ebenfalls keine gravierenden Probleme identifiziert werden – Sensible Kommunikation läuft nach vollständiger Einrichtung des Systems nur verschlüsselt und adäquat gegen mögliche Man-in-the-Middle-Angriffe abgesichert ab.
Einige kleinere Schwachstellen konnten wir dennoch ausmachen, diese fallen insgesamt kaum ins Gewicht, sollen aber dennoch erwähnt werden. So ist der lokale Zugang über das Webinterface standardmäßig lediglich mit einem Geräteunabhängigen Passwort versehen. Bei der Einrichtung wird zwar obligatorisch eine Passwortänderung vom System gefordert, eine kurze Zeitspanne mit zumindest theoretischer Angreifbarkeit zwischen erstem Anschließen und Einrichtung existiert demnach dennoch.
Weiterhin muss zum lokalen Zugriff auf die Basis über das Webinterface das selbst signierte Zertifikat zur Verbindungsabsicherung akzeptiert werden. Der Nutzer bekommt dabei von allen aktuellen Browsern eine Sicherheitswarnung angezeigt, die auf das potentielle Sicherheitsrisiko hinweist. Auch wenn die Begründung des Herstellers an dieser Stelle durchaus nachvollziehbar ist, liefert die technische Umsetzung an dieser Stelle zumindest theoretisch Angriffspunkte, wenn unbedarfte Nutzer sich an das Ignorieren derartiger Sicherheitswarnungen gewöhnen und beginnen beliebige Zertifikate zu akzeptieren. Eine direkte Schwachstelle per se stellt dieser Umstand aber allein nicht dar.
Online Kommunikation
Der Fernzugriff auf das XT1+-System wird über DynDNS realisiert. Dazu gibt es von uns an dieser Stelle, bezüglich möglicher Sicherheitsrisiken, auch nichts weiter anzumerken – Die Kommunikation ist vollständig verschlüsselt und adäquat gegen die üblichen Standardangriffe abgesichert.
Die direkte Kommunikation zwischen XT1+-Basis und LUPUSEC-Servern stellte sich im Test als minimal dar. Diese lief vollständig verschlüsselt ab, wies aber trotzdem eine Schwachstelle auf. Im Test war es möglich, aufgrund der fehlenden Zertifikatsvalidierung auf Seiten der Basis, einen Man-in-the-Middle-Angriff auf die ablaufenden Verbindungen durchzuführen. Im Test erwies sich dieser Umstand allerdings nicht als kritische Schwachstelle, da dabei keine sensiblen Daten, abgefangen oder manipuliert werden können.
Firmware
In diesem Testpunkt wurde von uns nicht direkt der Quellcode der Firmware selbst auf mögliche Schwachstellen untersucht, sondern lediglich die Sicherheit der Übertragung dieser über das Internet im Rahmen möglicher Update-Prozesse.
In der aktuellen Version wird das Firmware-Image beim Update in unverschlüsselter Form übertragen. Um die Firmware und die darin enthaltene Funktionalität auf dem Übertragungsweg trotzdem schützen zu können, hat der Hersteller auf eine digitale Signatur zurückgegriffen. Diese kann zwar nicht direkt gegen Manipulation schützen, erlaubt es der Basis allerdings vor der Installation die Integrität und Authentizität des Images zu überprüfen und damit mögliche Änderungen auf dem Übertragungsweg zu detektieren.
Datenschutz
In der aktuellen Version enthält die Applikation Nutzungsbedingungen, die wiederum die Datenschutzinformationen enthalten: Wie wir bereits während des Tests vermutet und auch beobachtet haben, geht das XT1+-System und die dazugehörige App sehr sparsam beim Sammeln von Nutzerinformationen vor: Wenn der Fernzugriff verwendet wird, werden lediglich Geräte-ID, öffentliche IP-Adresse mit Port, Nutzername, Passwort und E-Mail-Adresse gespeichert. Und wichtig: Keine Daten werden mit Dritten geteilt. Vorbildlich!
Die Aktivierung des Online-Fernzugriffs ist zudem optional – bleibt er deaktiviert, werden lediglich die Geräte-ID sowie die öffentliche IP der Basis erfasst.
Das einzige was wir uns noch zusätzlich gewünscht hätten, wäre eine detailliertere Ausführung zu den Berechtigungen, die die Applikationen sich sichern und deren Notwendigkeit. Allerdings wurde im Test keine der zusätzlichen Berechtigungen von der Applikation auch tatsächlich verwendet, sodass wir hier auch keine weiteren Bedenken anmelden müssen.
Fazit
Insgesamt präsentiert sich uns im Test ein ausgewogenes Sicherheitskonzept, was lediglich einige wenige geringere Schwachstellen aufweist. Die wichtigen Bereiche lokale Kommunikation, Online-Kommunikation und Datenschutz sind absolut adäquat für den Einsatzbereich umgesetzt und bieten dem Kunden ein hohes Maß an Sicherheit. In unserem Test zeigten sich keine kritischen und/oder offensichtlichen schwerwiegenden Schwachstellen, sodass wir ohne Bedenken unser Zertifikat „Geprüftes Smart Home Produkt“ an das LUPUSEC XT1+ vergeben können.