Im Rahmen des Videosprechanlagen-Vergleichstests haben wir natürlich auch eines der hierzulande verkauften fernöstlichen Modelle angesehen, in diesem Fall die Somikon WLAN-HD-Video-Türklingel welche in Deutschland durch Pearl vertrieben wird.

Als mit Abstand günstigstes Produkt im Vergleichstest hatten wir zugegebenermaßen keine sonderlichen großen Erwartungen. Tatsächlich musste das Gerät im Test dann auch einiges an Kritik einstecken – gerade die relativ große Zahl von kleineren Problemen, vorallem datenschutztechnischer Natur, verhindern hier eine gute Bewertung.

Applikation

Eine zugehörige mobile Applikation unter dem Namen Somikon suchen Kunden vergebens. Steuern lässt sich die Sprechanlage aber mit der App „DophiGo“ vom eigentlichen Hersteller des Geräts Xiaotun. Die Applikation (Android v2.5.1536, iOS vX) ist mit guten 17MB kein ausgesprochenes Leichtgewicht, aber im Vergleich zu den Mitbewerber doch vergleichsweise schlank. Außerdem fällt auf, dass die gesamte Funktionalität der Android-Applikation in shared objects (.so) enthalten ist. Dies wird bei der Entwicklung mit größter Wahrscheinlichkeit nicht aus sicherheitstechnischen Gründen geschehen sein. Allerdings hat es für die Sicherheit den Effekt, dass Reverse Engineering so deutlich erschwert wird, da man den ursprünglichen Quellcode aus den shared objects nicht wieder herstellen kann, wie das bei einer klassischen Java-Umsetzung der Fall wäre. Andere Methoden zum Reverse-Engineering über bspw. Code Injection existieren natürlich trotzdem noch, sind aber vergleichsweise aufwändig. So ist es für einen potentiellen Angreifer zumindest schwerer ausnutzbare Schwachstellen auf diesem Wege ausfindig zu machen.

Unsere statische Analyse vermeldet bei den Applikationen potentielle Schwachstellen und Implementationsfehler, unter anderem auch in den Drittanbieter Werbemodulen und –trackern, von denen leider fast schon typischerweise, eine ganze Menge enthalten sind: Alibaba, Tencent, Xiaomi und Huawei, um nur einige zu nennen. Damit diese ihre datenhungrige Mission auch erfüllen können, lässt sich die App auch so ziemlich alles an Berechtigungen zusichern, die das System hergibt. So sammelt die Applikation beispielsweise auch Informationen über andere installierte Applikationen und ob der Nutzer WeChat und Whatsapp verwendet. Außerdem wird auch die Telefonnummer erfasst. Diese Informationen werden, wenig überraschend, natürlich auch an den Hersteller und andere Dienste übertragen. Einige der gesammelten Informationen werden auch lokal auf dem Smartphone abgelegt. Außerdem konnten wir ungesichert, extern auf der SD-Card gespeichert, das Streamvorschaubild ausfindig machen, das geladen und dem Nutzer angezeigt wird bevor die App auf das Live-Bild schaltet. Das Bild ist aufgrund des Speicherorts auch allen anderen auf dem Smartphone gespeicherten Applikationen zugänglich – Datenschutztechnisch bedenklich. Was das Fazit für den Bereich Applikation auch insgesamt gut zusammenfasst.

Lokale Kommunikation

Eine IP-basierte Netzwerkkommunikation konnte bei der Somikon nicht festgestellt werden. Lediglich zur Einrichtung des Gerätes wird eine Bluetooth-Kommunikation zum Smartphone aufgebaut, um darüber die Netzwerkinformationen zu übertragen. In Rahmen des Kurztests wurden dabei allerdings keine offensichtlichen Schwachstellen identifiziert.

Online Kommunikation

Bei der Kommunikation über das Internet leistet sich das Gerät allerdings einige Schwachstellen, die in diesem Bereich zu einer Abwertung führen müssen. So ist der eigentliche Login-Vorgang zwar verschlüsselt und auch adäquat gegen gängige Man-in-the-Middle-Angriffe abgesichert, der Rest der Kommunikation ist allerdings zum größten Teil nicht verschlüsselt.

Das auf der SD-Card abgelegte Vorschaubild wird zum Beispiel auch über eine ungesicherte HTTP-Verbindung heruntergeladen. Noch schlimmer ist aber die fehlende Absicherung für den eigentlichen Videostream der Kamera. Natürlich sollten diese Bild- und Audiodaten schon allein aus datenschutztechnischen Gründen unbedingt vor dem Zugriff Dritter geschützt werden. Hinzu kommt hier noch, dass auch einige Statusinformationen zum Nutzer und Nutzer-Smartphone, wie bspw. IMEI oder Smartphone Modell, ungesichert übertragen werden.

Basierend darauf können wir folglich für diesen Bereich keine positive Bewertung abgeben.

Datenschutz

Die Datenschutzerklärung der DophiGo-App, die für den Zugriff auf die Somikon Kamera erforderlich ist, ist in englischer Sprache verfügbar und vermittelt verständlich, welche Daten aufgezeichnet werden. Die Berechtigungen der App spiegeln sich nur in Teilen in der Datenschutzerklärung wider. Der Zweck der Aufzeichnung von GPS-Daten oder den aktuell auf dem Smartphone laufenden Apps und zahlreicher weiterer Berechtigungen erschließt sich für uns nicht. Die Datenverarbeitung und -speicherung findet ausschließlich in China statt, weiterhin so lange wie notwendig (nach unserem Verständnis eher: solange möglich bzw. erlaubt).

Fazit

Insgesamt fehlen uns bei der Somikon WLAN-HD-Video-Türklingel doch einige wichtige Mechanismen, um zumindest eine Basissicherheit gewährleisten zu können. Auch gerade im Bereich Datenschutz können wir Applikation in vielen Punkten nur ein „bedenklich“ bescheinigen. Auch im Bereich online Kommunikation schlagen einige Punkte negativ zu Buche. Einzig die Punkte, dass die lokale Kommunikation auch konzeptbedingt keine wirklichen Schwachstellen zulässt und die Datenschutzerklärung zumindest einige wertvolle Informationen liefert, rettet das Produkt auf knapp 1 der 3 im Kurztest möglichen Sterne.