ABUS – Der beliebte deutsche Hersteller von allem rund ums schließen, verriegeln und absichern erweitert in den letzten Jahren verstärkt sein Produktportfolio um immer mehr smarte Geräte. Über die Jahre hatten wir auch immer wieder einige dieser neuen Produkte bei uns im Labor – zuletzt die im Februar diesen Jahres mit unserem Zertifikat ausgezeichnete ABUS Comfion Alarmanlage. Nun hat ABUS sein ABUS One Ökosystem auf insgesamt 13 dazugehörige Einzelprodukte ausgeweitet. Von diesem wurden uns 6 Produkte zur Zertifizierung vorgestellt und wie immer, haben wir alles unserer strengen Testprozedur unterzogen.
Merkmale
Die ABUS One–Produktfamilie besteht, wie bereits erwähnt, aus bisher 13 Einzelgeräten, die alle über eine mobile Applikation bedient werden können. Da alle Geräte in unmittelbarer Nähe durch Bluetooth gesteuert werden und selbst keine Online-Funktion bieten, die einen Fernzugriff erlauben würde, dient die BRIDGE One diesem Zweck. Sie übernimmt lokal die Kommunikation mit den anderen 5 Bluetooth-Geräten und lässt sich selbst über das Internet von überall auf der Welt ansprechen.
Die übrigen 5 der getesteten Geräte sind dann die KeyGarage One, ein kleiner Schlüsseltresor, der sich per Zahlenkombination oder eben Bluetooth bedienen lässt, das EVEROX One, ein smartes Vorhangschloss, CYLOX One, ein smarter Schließzylinder der sich ohne Schlüssel ebenfalls per Bluetooth aktivieren und deaktivieren lässt, um das Schloss dann per Hand auf- bzw. zuzuschließen, das Smart Lock LOXERIS One, was dem Benutzer dann Smart Lock typisch auch das eigentliche Aufsperren durch den integrierten Motor abnimmt und schlussendlich noch das WINTECTO One, was dann eine ähnliche Aufgabe für Terrassentüren übernimmt und diese somit zu einer vollwertigen Eingangstür macht.
Der Zugriff und die Steuerung aller Geräte geschieht dann, wie ebenfalls bereits erwähnt, über eine zentrale mobile Applikation für Android und iOS – Die ABUS One App. Hierüber lassen sich, wie mittlerweile Standard, Einstellungen vornehmen, Geräte an- und ablernen, der Fernzugriff regeln oder Zugriffseinladungen verschicken.
Mobile Applikation
Die besagte mobile Applikation ist dann auch, wie immer, der Ausgangspunkt für unsere Sicherheitsanalyse des ABUS One Systems. Hierbei gibt es aus unserer Sicht allerdings nichts wirklich Kritisches zu berichten: So sieht die Implementation sicherheitsrelevanter Funktionen absolut solide aus und auch unsere automatisierte statische Analyse fand im ersten Schritt nicht einmal wirklich nennenswerte, theoretische Schwachstellen, die es im Normalfall eigentlich immer gibt.
Die Bluetoothkommunikation wird in der App über ein von ABUS selbst entwickeltes Protokoll übernommen, dessen Implementation wir uns natürlich ebenfalls ganz genau angesehen haben, auch wenn eine starke Code-Obfuscation das eigentlich verhindern wollte. Das im Code mit xlock benannte Protokoll arbeitet mit einer 128-Bit AES-Verschlüsselung mit Session-abhängigen Schlüsseln und Salts, so dass simple Angriffe, wie etwa Replay-Attacken ausgeschlossen werden können. Auch die Authentifizierung zwischen Gerät und App lässt hier keine offensichtlichen Schwachstellen erkennen.
Und auch was sonstige kritische Bereiche, wie etwa das Anlernen der Geräte, Passwortsicherheit oder die Kommunikation über das Internet angeht, konnten hier in der Analyse der Applikationen, sowohl statisch als auch dynamisch keine nennenswerten Probleme ausgemacht werden – ABUS hat hier aus unserer Sicht absolut solide Arbeit geleistet.
Online- und Offline-Kommunikation
Nun ist die mobile Applikation natürlich ein enorm wichtiger Faktor für das allgemeine Sicherheitsniveau der Kommunikation, aber eben nicht der einzige. Die Geräte selbst, die alle ebenfalls per Bluetooth kommunizieren, die Bridge One, die beides, Bluetooth und TCP/IP kann und auch die ABUS Cloud müssen hier abliefern damit die Kette nicht am schwächsten Glied bricht. Also haben wir uns auch die Kommunikation zwischen App und Cloud, Cloud und Bridge One sowie die Bluetooth-Geräte selbst ebenfalls genau angesehen.
Nun ist die mobile Applikation natürlich ein enorm wichtiger Faktor für das allgemeine Sicherheitsniveau der Kommunikation, aber eben nicht der einzige. Die Geräte selbst, die alle ebenfalls per Bluetooth kommunizieren, die Bridge One, die beides, Bluetooth und TCP/IP kann und auch die ABUS Cloud müssen hier abliefern damit die Kette nicht am schwächsten Glied bricht. Also haben wir uns auch die Kommunikation zwischen App und Cloud, Cloud und Bridge One sowie die Bluetooth-Geräte selbst ebenfalls genau angesehen.
Bezüglich aller Kommunikation über das Internet hatten wir ja bereits die App-seitige Implementation erwähnt, die keine nennenswerten Kritikpunkte aufweist und auch die praktisch beobachtete Kommunikation zur und von der Cloud liefert hier nicht mehr an potentieller Angriffsfläche. Die Authentifizierung läuft klassisch über die Verwendung von Refresh und Access-Token ab, die über die Nutzer-Credentials abgefragt werden. Hier fiel uns während des Tests nur auf, dass diese Credentials zwar adäquat sicher über aktuelles TLS übertragen werden, dabei aber als Klartext verschlüsselt werden. Auf dem Übertragungsweg sind diese Daten aber absolut sicher und auf Cloud-Seite werden sie dann auch als Hash gespeichert, sodass hier keine Gefahr durch bspw. einen Leak besteht.
Bei der Bluetooth-Kommunikation der Geräte selbst gab es zwar ein paar kleinere Auffälligkeiten und Inkonsistenzen beim Verhalten der Geräte, da alle aber im Prinzip über das identische Protokoll kommunizieren, waren die Abweichungen marginal. Was uns aber an potenziellen Punkten auffiel, war relativ einfach vom Hersteller zu beheben, was dieser auch in kürzester Zeit erledigte. Die von uns standardmäßig immer mit getesteten Angriffsszenarien, wie etwa Replay-Attacken, liefen außerdem ins Leere. Insgesamt kann man hier ebenfalls ein adäquates Sicherheitsniveau für alle Geräte attestieren.
Datenschutz
Wie ebenfalls üblich in jedem unserer Tests allgemein, spielt natürlich der Punkt des Datenschutzes auch beim Test des ABUS ONE Systems eine wichtige Rolle. Die Datenschutzerklärung, wie sie über die Apps selbst und die App-Stores verfügbar ist, liefert alles was eine gute Datenschutzerklärung liefern sollte. Die essentiellen Informationen zu Datensammlung, -speicherung und -weitergabe sind enthalten und werden ausreichend detailliert erläutert.
Die beiden enthaltenen Google Tracker (CrashLytics und Firebase) werden erwähnt und der Nutzer hat hier auch die Möglichkeit der Datensammlung explizit zu widersprechen und die App trotzdem zu verwenden. Aber auch mit aktivierter Datensammlung sind die Applikationen recht datensparsam – eine unnötige oder gar übermäßige Erfassung von Nutzer- und Nutzungsdaten konnte nicht beobachtet werden.
Fazit
Insgesamt stellt auch das ABUS One System eine gelungene Erweiterung des immer weiter digitalisierten, smarten Produktportfolios von ABUS dar. Sicherheitstechnisch hatten wir im Test lediglich kleinere Punkte anzumerken, die der Hersteller auch dankend entgegen und umgehend in Angriff genommen hat. Das Sicherheitskonzept passt und auch in Bezug auf den Datenschutz lässt sich die Lösung nichts Gravierendes zu Schulden kommen. Dementsprechend verleihen wir gern unser Zertifikat „Geprüftes IoT Produkt“ für das ABUS ONE System. Herzlichen Glückwunsch!