Auf dem 35C3 Ende 2018 (Kongress des Chaos Computer Clubs) wurden wieder mal erhebliche Sicherheitsmängel aufgedeckt, vor allem bei Smart Home Geräten. Darunter befand sich auch der Hersteller Tuya, der vor allem smarte Beleuchtung produziert.

Eine Sicherheitslücke in diesen Smart Home Geräten führt dazu, dass Angreifer während der Einrichtung der Geräte die WLAN-Zugangsdaten abgreifen können und komplette Kontrolle über die Tuya-Geräte erlangen können. So lassen sich sogar vom Angreifer neue Firmware Versionen installieren mit denen man Schadcode in das Heimnetzwerk einschleusen kann.

Der kritische Moment bei der Einrichtung ist die unverschlüsselte Versendung der Tokens für die MQTT-Verbindung an die Cloud-Server und der ebenfalls unverschlüsselte Rückversand der Sicherheitsschlüssel.

Tuya hat zu diesem Problem bereits reagiert und laut Angaben des Herstellers sollen im neuesten Firmware Update von Anfang Februar 2019 diese Sicherheitslücken behoben sein. Eine andere sicherer Lösung wäre der Verzicht auf die Cloud und die lokale Ansteuerung der Lampen z.B. über eine Smart Home Zentrale auf dem Raspberry Pi. Seit wenigen Monaten werden hier auch von Home Assistant die Tuya Geräte endlich unterstützt. Zur Sicherheit sollte man solche Smart Home Geräte aus China immer in ein extra WLAN Netzwerk ohne Internet Zugriff stecken.

Quellen:

https://www.heise.de/newsticker/meldung/No-Name-Hausautomation-Luecke-erlaubt-leichten-Firmware-Upload-4284783.html
https://www.heise.de/newsticker/meldung/Smart-Home-Hack-Tuya-veroeffentlicht-Sicherheitsupdate-4292028.html
Leave a reply

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.