Mit dem Hometec Pro bringt der renommierte Sicherheits- und Schließtechnikspezialist ABUS sein erstes Smart Lock „Made in Germany“ auf den Markt. Beauftragt mit der Durchführung unserer ausführlichen AV-TEST Zertifizierungstests, haben wir uns das neue smarte Türschloss einmal ganz genau angesehen. Wie gut und sicher die relevanten Sicherheitsbereiche dabei konzipiert und umgesetzt waren, wollen wir im folgenden erläutern.

Applikation

Wie es sich für ein smartes Türschloss gehört, kommt natürlich auch das Hometec Pro mit mobilen Applikationen für Android und iOS (getestete Version 3.1.5). Diese wurden wie üblich verschiedenen statischen und dynamischen Analysen unterzogen, um einschätzen zu können, wie sicher die Kommunikation, Steuerung und Verwaltung über die Applikationshelferlein vonstatten geht.

Grundsätzlich gibt es hierbei, bis auf ein paar kleinere Dinge, auch nicht viel zu berichten: Die Implementation der Online-Kommunikation sieht solide aus, die vier enthaltenen Tracker sind alle samt Standard-Google-Tracker und die wenigen Punkte, die wir sonst anzumerken hatten stellen eher theoretische Probleme dar. Dabei handelt es sich lediglich um einige mitgelieferte Libraries, die nicht vollständig durch alle gängigen Speicherzugriffsschutzmechanismen (wie ASLR) gesichert waren und ein gesetztes Flag im Manifest der Android Applikation erlaubt das Backup von Applikationsdaten über die Android Debug Bridge – zur Ausnutzung beider Sachen müsste ein Angreifer aber sowieso schon quasi Vollzugriff auf das Nutzer-Smartphone haben. Bei der iOS-Applikation fiel uns auf, dass die ATS-Einschränkungen (App Transport Security) standardmäßig deaktiviert sind, was der App zumindest theoretisch erlaubt unverschlüsselt zu kommunizieren. In der Praxis konnten wir davon zwar nichts sehen, empfehlen hier nichtsdestotrotz immer die Aktivierung von ATS, da man hiermit quasi „by default“ auf der sicheren Seite ist. Einen funktionalen Grund unverschlüsselte Kommunikation zuzulassen gibt es, nachdem was wir beobachten konnten, beim Hometec Pro ohnehin nicht.

Lokale und Online-Kommunikation

Bei der Kommunikation über das Internet fiel soweit auch nur eine Sache auf: Obwohl es während unserer Tests niemals aktiv verwendet wurde, identifizierten unsere Scanner noch die veraltete TLS Version 1.0, die scheinbar auf der Hometec Pro Bridge unterstützt wurde. Zumindest theoretisch wären somit noch einige sogenannte Downgrading-Attacken denkbar, die es Angreifern erlauben würden, die bekannten Schwachstellen der veraltete Protokollversion auszunutzen. Im laufenden Betrieb wiederum ergaben sich keinerlei Indizien, dass eine Verbindung über TLS 1.0 auch tatsächlich möglich wäre. Auch sonst fanden wir keine Hinweise auf potentielle Schwachstellen oder Verwundbarkeiten bei der Online-Kommunikation.

Ähnliches gilt ebenfalls für die lokale Kommunikation, die beim Hometec Pro System ausschließlich über Bluetooth LE stattfindet. Im ersten Augenblick waren unsere Tester hier zwar erst überrascht, dass eine Verbindung zum Schloss und ein Auslesen der verschiedenen Bluetooth-Services und Characteristics ohne Authentifizierung möglich waren. Auf den zweiten Blick zeigte sich aber, dass die Steuerung und der Zugriff auf kritische Informationen absolut adäquat abgesichert ist. So kann man als potentieller Angreifer zwar eine Verbindung zum Schloss aufbauen, aber danach ist im Prinzip auch fast schon Schluss. Die Steuerung und Konfiguration des Schlosses läuft vollständig über verschlüsselte Steuerungsbefehle, die sich im Test selbst wenn wir sie abfangen und mitlesen konnten nicht durch sogenannten Replay-Attacken „wiederverwenden“ lassen konnten. Auch unsere Versuche, dass smarte Schloss durch Überflutung mit Verbindungs-, Schreib- und Leseanfragen für legitime Verbindungsanfragen zu überlasten, waren nicht von Erfolg gekrönt. Praktisch konnten wir also auch hier keinerlei Schwachstellen ausfindig machen.

Datenschutz

Für diesen Bereich hatten unsere Tester die meisten Anmerkungen. Hier fehlten uns vor allem einige essentielle Informationen zu möglicherweise durch das Hometec Pro System erfassten, verarbeiteten und gespeicherten Daten. Da auch, wie bereits erwähnt, einige Google-Tracker in der Android-Applikation enthalten sind, muss man hier davon ausgehen, dass dementsprechend auch Daten über diese Dienste erfasst werden. Das allein ist natürlich auch kein Problem, die Datenschutzerklärung muss nur ausführlich darüber Auskunft geben. Dies gilt natürlich auch für Daten die das smarte Schloss auch selbst erfassen kann (wie beispielsweise Nutzungsstatistiken, Logs usw.). Als Zubehör zum Schloss ist außerdem auch ein Fingerprint-Scanner erhältlich, der naturgemäß biometrische Daten erfassen und über die Bridge und App auch teilen könnte. Auch wenn dies (wie wir auch vermuten) nicht der Fall ist, so sollte die Datenschutzerklärung dies doch explizit auch noch einmal aufgreifen. Besonders (heutzutage zurecht) misstrauische Nutzer werden die zusätzliche Transparenz zu schätzen wissen. Abgesehen davon gab es lediglich noch ein paar formale Sachen, die wir zwar angemerkt haben, aber dies eher der Vollständigkeit halber.

Insgesamt überzeugte uns das neue Smart Lock von ABUS im ersten Anlauf und auch wenn es in Bezug auf die Datenschutzerklärung noch den einen oder anderen Punkt zu verbessern gilt, ist das System sicherheitstechnisch absolut ausgereift und besteht den AV-TEST Zertifizierungsprozess damit ohne wirkliche Probleme. Wir vergeben dementsprechend mit Freude unser Siegel „Geprüftes Smart Home Produkt“.