Sonos kann als Vorreiter auf dem Markt der Multi-Room-Lautsprecher bezeichnet werden. Das Unternehmen mit Sitz in Kalifornien hat eine ganze Bandbreite an aktiven Lautsprechern im Portfolio, bietet auch Modelle mit Amazon Alexa Sprachsteuerung an. Im folgenden Test wollen wir näher auf Sicherheit und Datenschutz des Modells Play:1 eingehen.

Lokale Kommunikation

Für die initiale Verbindung mit dem WLAN-Netzwerk musste der Lautsprecher zunächst via Kabel mit dem Netzwerk verbunden werden. Im Anschluss hat dann auch die Kommunikation mit der App sowie die Verbindung zum WLAN-Netzwerk einwandfrei geklappt.

Abseits der Einrichtung findet nahezu die gesamte Kommunikation zwischen App und Lautsprecher unverschlüsselt über Port 1400 statt. Hinter diesem Port verbirgt sich ein UPnP (Universal Plug and Play) Service, der auch Drittanbieteranwendungen die Wiedergabe- oder Lautstärkesteuerung ermöglicht. Leider ist es so aber auch möglich, beim Hinzufügen von Musikdiensten mitzulesen oder zu manipulieren.

Hinzufügen eines Musikdienstes

Sofern mehrere Lautsprecher eingesetzt werden, bauen diese untereinander über Funk ein AES-verschlüsseltes, proprietäres Mesh-Netzwerk auf, über das z.B. synchronisierte Wiedergabe ermöglicht wird.

Online-Kommunikation

Da die Sonos Lautsprecher nicht über Internet gesteuert werden können, bezieht sich dieser Teil des Tests nur auf die Verbindung von App bzw. Play:1 zur Cloud von Sonos. Die Sicherheit der Verbindung zu den zahlreich verfügbaren Musikdiensten wurde nicht betrachtet.

Grundsätzlich ist die Kommunikation zu Sonos-Servern TLS1.2-verschlüsselt. Eine der Ausnahmen bildete allerdings das über eine unverschlüsselte Verbindung heruntergeladene Firmware-Update. Das Update selbst ist zwar verschlüsselt, nichtsdestotrotz ist es für uns aber unverständlich, warum das Update nicht über den verfügbaren HTTPS-Endpunkt des Servers heruntergeladen wird.

Download des Firmware-Updates über http

App

Die Sonos App wurde von uns in der Version 10.0 auf den Prüfstand gestellt. Sie ist nicht obfuskiert, nutzt also keine Codeverschleierung. Potentiellen Angreifern ist es so möglich, die Funktionsweise der App einfacher nachzuvollziehen und diese Informationen für eigene Zwecke zu nutzen.

Die App enthält zahlreiche Drittanbieterbibliotheken, darunter auch mehrere Analysedienste.

Für lokale Kommunikation wird erweiterte Zertifikatsvalidierung, Certificate Pinning, unterstützt. Allerdings konnte verschlüsselte Kommunikation zwischen App und Lautsprecher abseits der Einrichtung nicht festgestellt werden.

Datenschutz

Die Datenschutzerklärung von Sonos ist mit 7800 Wörtern unter den längsten der bei uns getesteten Produkte. Sie enthält detaillierte Informationen, wie mit den Daten im Hause Sonos umgegangen wird. Allerdings ist die Lesbarkeit nach Flesch-Kincaid-Index schwer. Im Rahmen der Datenschutzgrundverordnung wird von „wahrnehmbarer, verständlicher und klar nachvollziehbarer Form“ gesprochen. Dies ist hier nicht gewährleistet und sollte vom Hersteller angepasst werden.

Sonos sammelt im Standard detaillierte Nutzungsdaten, die auch über die Webseite einsehbar sind. Teile der aufgezeichneten Daten können im Nutzerprofil eingesehen werden.

Sonos Statistik

Auch wenn die Datenschutzerklärung sehr umfangreich ist und auch beispielsweise auf die Sprachsteuerung eingeht, vermissen wir Angaben zur Anonymisierung – dieser Begriff kann in dem 22 A4-Seiten langen Dokument leider nicht gefunden werden. (siehe auch: iRobot) Weiterhin ist die Angabe zur Speicherdauer der aufgezeichneten Daten mit „solange wir es für notwendig erachten“ eher schwammig formuliert.

Fazit

Sonos bietet mit seinem smarten Lautsprecher Play:1 eine Multi-Room-Audio-Lösung, wie man sie am Markt nur selten findet. Es gibt allerdings Punkte in der lokalen Kommunikation, die verbesserungswürdig sind. Auch wenn ein Angriff im lokalen Netzwerk eher unwahrscheinlich ist, sollte nicht darauf vertraut werden, dass es stets sicher wäre.

Die Datenschutzerklärung ist sehr detailliert ausformuliert und geht auf die wichtigsten Aspekte ein. Auch wenn Zweifel aufkommen können, ob die Datenerfassung im notwendigen Rahmen bleibt.