Logitech Harmony Hub und Smart Home: Firmware-Update macht Kunden zornig

Nicht viele Freunde macht sich Logitech derzeit. Da war auf der einen Seite die Sicherheitslücke in einer Maus-Software, die die Sicherheit eures Systems gefährdete – und nun macht ein Firmware-Update die Nutzer zornig.

Logitech hat kürzlich ein Firmware-Update für Harmony Hub-basierte Fernbedienungen veröffentlicht, das einige Sicherheitsschwachstellen behebt, die von einer  Sicherheitsfirma eines Drittanbieters veröffentlicht wurden.

Letzte Woche begann Logitech mit der Verteilung des Updates. Das Problem ist wie folgt gelagert: Viele Anwender nutzten (undokumentierte) Harmony-APIs für die Steuerung des Smart Home. Eben jene sind durch den Sicherheits-Fix auch „dicht“, für den Nutzer also nicht mehr ansprechbar.

Diese privaten lokalen Steuer-APIs wurden laut Logitech nie von Harmony-Funktionen offiziell unterstützt. Es ist zwar bedauerlich, dass Kunden, die diese nicht unterstützten Funktionen nutzen, von diesem Fix betroffen sind, aber die allgemeine Sicherheit der Produkte und aller Kunden habe Priorität – weshalb man auch nicht zurück rudere.

Kunden in den Produktforen beschweren sich derweil über Logitech und tun die Aussagen Logitechs als Marketing-Geschwätz ab. Die Wut scheint auf den ersten Blick nachvollziehbar, kauften viele Nutzer den Hub ja nur aufgrund seiner Möglichkeiten, jene Schnittstellen irgendwie zu nutzen.

Gefällt dir der Artikel? Dann teile ihn mit deinen Freunden.

caschy

Hallo, ich bin Carsten! Baujahr 1977, Dortmunder im Norden, BVB-Getaufter und Gründer dieses Blogs. Auch zu finden bei Twitter, Google+, Facebook, Instagram und YouTube. PayPal-Kaffeespende. Mail: carsten@caschys.blog

Das könnte dir auch gefallen…

Mit dem Absenden eines Kommentars willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.

51 Kommentare

  1. Haha bei mir genau umgekehrt, der Hub war der letzte Grund zumindest bei E27 komplett auf Philips zu setzen, denke Lightstrips und Steckdosen folgen noch xD

    PS: die aktuelle Firmware ist 4.15.206 🙂

  2. Das dürfte vor allem jene betreffen, die den Hub in Smarthome-Systeme eingebunden haben wie FHEM oder ioBroker – also sicherlich nur den geringsten Teil der Nutzer.

    • Ich hab eher den Eindruck dass für genau jene der Hub interessant war und sie somit einen großen Teil der Kundschaft ausmachen sollten.
      Naja, Broadlink wirds freuen.

    • FHEM, OpenHAB, ioBroker, HomeAssistant und wie sie noch alle heißen. Ob das wirklich so wenige sind, wage ich zu bezweifeln, schau dich mal in den Logitech-Foren um.

      Außerdem betrifft das zum Beispiel auch alle, die den Hub mit Siri nutzen, da die Anbindung dort über HomeBridge erfolgt, welches auch die betroffene Schnittstelle verwendet.

      • Naja, in den Foren melden sich nun natürlich die, wo es nicht mehr funktioniert. Und das können schon etliche sein, aber trotzdem glaube ich nicht, dass diese insgesamt einen nennenswerten Teil der Nutzerschaft ausmachen. Aber unabhängig davon, kann ich sehr gut verstehen, dass das für die Betroffenen (mich eingeschlossen) ärgerlich ist. Aber hier geht es um eine Art der Nutzung, die weder offiziell dokumentiert ist noch explizit beworben wird. Dass es dennoch geht, ist toll, aber daraus kann man doch keinen Anspruch herleiten, dass das auch weiterhin so funktioniert. Insofern finde ich es auch nicht gerechtfertigt, dass nun so viele auf Logitech schimpfen.

        • Klug wäre es halt gewesen mit der Einstellung zumindest eine offizielle LAN API anzukündigen. Hierbei handelt es sich ja schon um ein ziemliches Nerd Produkt welches in erster Linie von Leuten für die Home Automation angeschafft wurde, was zudem auch recht kostspielig war wenn sich manche auch noch für die zusätzliche Fernbedienung entschieden haben die dann auch bald nutzlos ein könnte. Denn wer weiß wie lange die und die App noch mit dem Hub welches,man nun nicht mehr aktualisiert, zusammenarbeitet.

          Das Amazon inzwischen international die Rezensionen für das Hub gesperrt hat zeigt das Ausmaß glaub ich ganz gut.

    • Ich hab es zum Glück früh genug mitbekommen und dem Hub direkt den Internetzugang gesperrt.

      Nutze den Hub in Verbindung mit FHEM. Ohne die Verbindung ist der Hub für mich witzlos.

      Im FHEM Forum wird aber auch schon an einer alternativen Zugriffsform auf den Hub gebaut. Die sind wohl auch schon ziemlich weit. Teile funktionieren schon über andere Wege (websocket)
      https://forum.fhem.de/index.php/topic,14163.1485.html

      Ich bin aber mal gespannt, wie lange es noch so funktioniert.

      Alternativ kann man den Hub auch downgraden, wenn man das Update ausversehen schon eingespielt hat. Beschreibung weiter unten auf der Seite:
      https://www.home-assistant.io/blog/2018/12/17/logitech-harmony-removes-local-api/

      • Der Hub der harmony companion lässt sich ohne Internet nicht richtig nutzen. Alle Aktionen werden dann nur noch stark verzögert ausgeführt. Damit ist ein downgrade nicht zielführend. Ich werde zukünftig nur noch Geräte mit einer lokalen offiziellen API kaufen. Zumindest Geräte die von FHEM unterstützt werden und keinen online Zwang haben. Der Druck auf die Hersteller ist aber nur sehr gering in die Richtung. Die Leute wollen dass es einfach funktioniert. Und wenn dann der cloud Service eingestellt wird schauen sie Sim aus der Wäsche. Da müsste es jedesmal einen Shitstorm geben.
        Das harmony Modul in FHEM wurde bereits angepasst und nutzt nun Port 8083 wie auch die iPhone App. Da das aber noch unsicherer ist, ist es wohl nur eine Frage der Zeit bis diese Möglichkeit von Logitech auch dicht gemacht wird.

  3. Bei mir geht die Steuerung über Amazon Alexa seit gestern nicht mehr. Sagt, das Harmony Konto sei nicht mehr verbunden. Ist es aber und ich habe es sogar noch mal neu verknüpft.

  4. Das Harmony System als Universalfernbedienung ist so extrem buggy, dass man sowieso andauernd etwas fixen muss. Aber es gibt auch keine Alternative…

    • Natürlich gibt es Alternativen.
      Der Broadlink RM Pro steuert bei mir seit fast nem Jahr TV und Stereoanlage über Google Home und IR und ist dazu noch deutlich preiswerter.

    • Ja leider. Wenn man das System kennt und technischen Verständnis hat kommt man damit klar und kann die diversen Bugs, Macken und Eigenheiten des Harmony Systems gut handhaben, aber der WAF geht dadurch natürlich gegen null, was der Grund ist wieso wir mittlerweile andere Lösungen ohne eine Harmony einsetzen.

  5. Oh man habs/hatte ihn bei Homebridge eingebunden und das war für wirklich eine coole Zusatzfunktion. Da es Logitech ja nicht hinbringt Siri zu nutzen. Jetzt geht da nix mehr was für ein Mist echt.

  6. Kann ich aber auch ein wenig nachvollziehen, dass ein Hersteller das Recht hat, eine nicht öffentliche und undokumentierte Funktion zu entfernen. So ist das halt.

    • Dann informiert man die Kunden und lässt Ihnen die Wahl oder man fügt einen Key hinzu den man in internen Netzwerken benutzen kann. Da gibts viele andere Möglichkeiten.

      • Entschuldigung, aber… den Kunden informieren über den Umgang mit einer Funktion, die es offiziell gar nicht gibt? Ernsthaft? Ich denke nicht…

        • Wieso wirbt dann Amazon offiziell damit? und verkauft Alexa mit dem Hub usw? Also so inoffiziell ist es nicht. wie Du hier tust…

          • Amazon wirbt. Nicht Logitech. Merkste was? Und Alexa scheint ja noch zu gehen, wie ein Kommentator oben bemerkte.

            Andersherum, wenn jemand das ach so sichere selbstgebastelte Smarthome gehacked hätte, hätten auch alle nur rumgeschrien. Logitech kann es gar nicht richtig machen. ¯\_(ツ)_/¯

            • Ich hab kein Alex und will es ja auch nicht, aber wenn Amazon zb. mit Logitech zusammen irgendwelche Deals schnürt kann man nicht von inoffiziellen Funktionen sprechen is meine Meinung. Amazon wird ja nicht die Dinger selbst reduzieren und dann draufzahlen.
              Dazu weiss ich nicht was der User oben für einen Softwarestand hat, in einigen Foren lassen sich die User auf jeden Fall darüber aus das es nicht mehr läuft, auch kein Plan welchen Skill sie nutzen.
              Zu deinen Hack Befürchtungen geb ich Dir ja recht, aber in einem geschlossenen Heimnetzwerk mach ich mir da ehrlich gesagt keine Sorgen. Deshalb sollte das einem User auch irgendwie selbst überlassen sein, so wie es Nest oder Netatmo ja auch schaffen per secure Key…

          • Die Nutzung über die undokumentierte API wird an keiner Stelle beworben. Was beworben wird ist die generelle Nutzung mit Alexa, aber das ist von dieser Angelegenheit auch gar nicht betroffen, mit dem entsprechenden Skill funktioniert das nach wie vor.

  7. Oh ne, das wäre echt kacke. Hab noch kein Update gemacht, aber ein Großteil meiner Heimsteuerung basiert darauf… 🙁

  8. Wollte mir eigentlich auch eine kaufen um sie in meinen Loxone System zu verwenden, schade drum

    Das Logitech es nicht mal gebacken bekommt eine ordentliche API zur Verfügung zu stellen ist auch Wahnsinn

    • Jan Steinbach says:

      Kannst Du auch ohne die local API machen:

      HA-Bridge nutzen welches als HUE Bridge Emulator mit der Harmony verbunden ist.

      In der HA-Bridge dann z.B. die Rollladen des Wohnzimmers anlegen, mit entsprechenden virtuellen Eingängen von Loxone.

  9. Puh, das ist harter Tobak. Ein Harmony Hub sollte eigentlich bei mir unterm Weihnachtsbaum liegen, weil ich es in mein OpenHAB/Homebridge einbinden wollte. Sieht aktuell so aus, als ob der zurückgehen muss. Ist schon ein starkes Stück, dass Logitech schreibt, dass sie wissen, dass die Schnittstellen benutzt werden, und sie aber trotzdem abschaltet, ohne Alternativen anzubieten. Mit Sicherheit hat das vermutlich nicht viel zu tun.

    Kennt jemand Alternativen? Brauche eigentlich hauptsächlich ein IP-fähiges Infrarot-Gateway, um die Anlage und den Fernseher zu steuern – idealerweise dann per Siri.

  10. Ich nutze den Hub. Auch zusammen mit Alexa. Keine Einschränkungen für mich.

    • Du kannst genau einen Hub mit Alexa offiziell nutzen (über die Cloud-API). Mehrere Hubs werden von Logitech nicht unterstützt, dafür brauchst du dann eine eigene Smart-Home-Lösung. Und Siri zum Beispiel ging bisher nur über HomeBridge (Custom-Lösung) und aktuell – durch das Update – offenbar gar nicht mehr.

      Außerdem wollen viele, die Smart-Home ernsthaft betreiben, eine Integration in ihre *lokale* Smart-Home-Lösung haben.

      • Ich habe im HUB die neueste Firmware 4.15.206 drauf, bei mir läuft die Anbindung in Siri nicht über das Harmony Plugin für Homebridge (war eh viel zu buggy), sondern über das IFTTT Plugin. Da Harmony weiterhin IFTTT unterstützt, funktioniert auch die Lösung mit Siri. Gerade eben nochmal getestet. Nur zur Info, falls es jemanden interessiert.

      • Komisch, also ich habe 2 Hubs und alles funktioniert mit Alexa einwandfrei.

  11. Irgendwie erinnert mich das an die Philips Hue Geschichte vor 3 Jahren. Es war nicht dokumentiert, dass Drittanbieter-Lampen funktionieren, aber es hatten einfach viele Leute auch Lampen/Steckdosen von Osram und Co. an der Bridge hängen. Eben weil es ging.

    Dann meinte Philips irgendwann, dass das ab sofort nicht mehr funktionieren würde. Es gab dann einen mehrtägigen Shitstorm und Philips musste schließlich zurückrudern. Mittlerweile gibt es sogar ein offizielles Statement, dass Drittanbieter-Komponenten gehen, aber (verständlicherweise) nicht alle Funktionen garantiert werden können. Damit können denke ich beide Seiten gut leben.

    Man kann nur hoffen, dass Logitech auch Einsicht hat, und diese Funktion wieder bereitstellt. Wenn man in die Produktforen und Twitter reinließt, rollt der Shitstorm auch an.

  12. Ich nutz den HUB über IFTTT mit Google Home, dennoch steckt in dem Produkt weit aus mehr Potential als ausgeschöpft wird. Nichmal simples WOL wird nach Jahren der Nachfrage eingebaut. Schade, dennoch möchte ich es nicht missen

  13. Ist davon auch die Yonomi Verbindung betroffen?

  14. Also. Home Assistent hat ihre API auf die Websocket API umgestellt (wird anscheinend von der iOS App benutzt). Die anderen werden folgen, passieren kann es da aber auch da.

    https://www.home-assistant.io/blog/2018/12/19/logitech-stance-on-local-api/

  15. Ich bin auch richtig angepisst. Meine beiden Harmonys haben zwar noch kein Update erhalten, aber nur wenn ich daran denke, dass ich bei der nächsten Änderung ein Update machen muss, steigt in mir die Wut hoch. Logitech verkauft die Dinger doch nicht wie geschnitten Brot, weil die Kunden von der Hardware alleine überzeugt sind. Die Dinger wurden von Leuten an Bekannte/Verwandte empfohlen, die die Dinger auch zur smarten Steuerung nutzten. Da kennt jemand seine wichtigsten Kunden nicht richtig. Otto-Normal-Käufer ist nur schwer von diesen Fernbedienungen zu überzeugen. Die sind einfach zu teuer. Die Harmonys brauchen Mundpropaganda, um an den Mann gebracht zu werden und die fehlt, wenn man die Leute verprellt, die die Dinger auch ausreizen wollen.

    Das die Hersteller immer noch nicht begriffen haben, dass „smart“ nicht immer „Cloud“ sein kann, versteh ich nicht. Die ganzen „Nachrüstlösungen“ werden auf Dauer nur eine Ergänzung zum eigentlichen „Smarthome“ sein und da stört die „Cloud“ gewaltig. Mal ein Beispiel wie es laufen könnte bzw auch schon läuft: KNX als Grundlage für das „smarte“ Haus. Ins KNX sind Gateways integriert, zB ein Hue-Gateway, das über lokale APIs die Bridges der „Nachrüstlösungs“-Hersteller steuern. Zwei mal darf man raten, welche Hardware verteufelt wird, wenn mal das Internet fehlt. Es ist nicht das KNX (oder auch Homematic/Loxone/Hager Easy/Free@home und und und). Es ist die „Smarthome“-Lösung, die nur über die Cloud gesteuert werden kann. Logitech macht einen riesen Fehler, wenn sie die lokalen Schnittstellen abschaffen wollen.

    Ich würde zwar die „smarte“ Steuerung, so wie ich sie brauche, auch über Harmony-only-ohne-API hinbekommen, aber eine saubere Lösung ohne die potentielle Fehlerquelle IR, wäre mir lieber. Ich habe ins KNX-Netzwerk Busch-Jäger Präsenzmelder mit IR-Empfänger integriert und könnte darüber, die aktuelle Aktion bestimmen, aber der IR-Weg ist mir zu fehleranfällig (gerade wenn man 3D-Filme schaut).

    • Naja, ich und auch viele andere haben den Hub schon einige Jahre benutzt, als das „Smarte Home“ im Einzelfall noch gar kein Thema war. Und die „wichtigsten Kunden“ sind für einen Hersteller wie Logitech vermutlich eher nicht die Bastler, die sich mit solchen Lösungen auseinander setzen, da geht es schlicht um Masse. Und für die spielt Smarthome und Automatisierung nicht die große Rolle, wie viele offenbar annehmen.

      Wie gesagt, ich habe durchaus Verständnis für die Verärgerung, finde auch, dass sich der Hersteller das nochmal überlegen sollte, bin aber nicht der Auffassung, dass Logitech dadurch tatsächlich Nutzer in nennenswerter Zahl vergrault.

      • Ich habe meinen ersten Hub jetzt auch schon 3,5 Jahre. In der Zeit hab ich mindestens 3 Haushalte davon begeistern können, sich auch Harmonys ins Haus zu holen. Für Otto-Normal-Käufer sind die Dinger einfach zu teuer, um 2-3 Fernbedienungen zu ersetzen. Da braucht es schon jemand richtig begeisterten, um über einen Kauf nachzudenken. In diesen Haushalten hält auch so langsam das Thema Smarthome ein. Ich glaube, dass das Thema „Smarthome“ doch mehr Fahrt aufgenommen hat, als so mancher denkt. Die Einstiegsdroge mit den Nachrüstlösungen kommt jetzt bei der Masse an. Bald wird der Punkt kommen, wo die Masse erkennt, dass diese Lösungen teilweise zu einfach gestrickt sind und dann auch nerven können, weil sie nicht funktionieren, so wie man es sich vorstellt. Beispiel: Treppenaufgang mit 2 PhilipsHue-Lampen und 2 PhilipsHue-Bewegungsmeldern, eine Lampe und ein Bewegungsmelder oben und eine Lampe und ein Bewegungsmelder unten. Beide Beweungsmelder schalten je beide Lampen an. Bewegt man sich unten im Bereich des ersten Bewegungsmelders, gehe beide Lampen an. Man geht die Treppe hoch und kommt in den Bereich des zweiten Melders. In dem Bereich des zweiten Melders verweilt man ein wenig und schwupps ist das Licht aus, obwohl die Bewegung noch voll und ganz erfasst werden sollte. Das Problem dabei, Bewegungsmelder 2 sendet ein „ein“, obwohl das Licht noch an ist. Nach Ablauf der Nachlaufzeit sendet Bewegungsmelder 1 ein „aus“ und beide Lampen gehen aus. Für Bewegungsmelder 2 ist das Licht aber noch „an“ und er sieht kein Bedarf darin ein „ein“ zu senden. Das wäre eine klassische Master-Slave-Funktion, die es aber bei den einfachen Nachrüstlösungen nicht gibt…. und Logitech verbaut sich gerade die Möglichkeit auch weiterhin ihre Produkte an den Mann/Frau zu bringen. Eine „Einfache Bedienung“ wird in naher Zukunft nicht ausreichen und wenn man jetzt schon die Leute vergrault, die aus „einfach“ etwas mehr zaubern können, dann sind sie bald weg vom Fenster.

  16. Florian Rott says:

    Clickbait-Überschrift bei Cashy? Oje! Das gibt Punktabzug…

  17. Nervt! Schade! Werde als IT Nerd der Familie in Zukunft keine Harmony Produkte mehr empfehlen…

  18. Ich finde es schon beachtlich, mit welcher Arroganz Logitech hier vorgeht. Man könnte auch einfach das „Sicherheitsproblem“ beheben, statt die User so zu verprellen.

    Na mal schauen, ob sich das Logitech vielleicht nochmal anders überlegt. Im Logitech-Forum gibt es übrigens noch einen anderen als den von Cashy verlinkten Thread, wo sich noch wesentlich mehr aufgebrachte User beschwerden: https://community.logitech.com/s/question/0D55A00008D2zYDSAZ/harmony-hub-fw-415206

    Davon abgesehen finde ich es durchaus erheiternd, dass sich Hersteller gerade im Weihnachtsgeschäft immer wieder mit solchen unpopulären Entscheidungen in den Fuß schießen. Wenn ich als Manager solche Entscheidungen zu vertreten hätte (was ich nicht mit meinem Gewissen vereinbaren könnte), dann würde ich garantiert bis nach dem Weihnachtsgeschäft warten. Februar oder so, dann ist selbst das Amazon-Rückgaberecht erloschen. 😀

  19. Als Softwareentwickler kann ich dazu nur sagen: Nicht dokumentierte und nicht offizielle Schnittstellen sind in der Regel absichtlich nicht dokumentiert und nicht für die öffentlich Nutzung gedacht. Die können also immer verändert oder abgeschaltet werden – je nachdem, welche Anforderungen es gerade gibt. Wenn es bisher funktioniert hat, ist das schön, aber keine Garantie für die Zukunft.

    • Im Prinzip hast du zwar Recht, aber es gibt in größeren Software-Projekten durchaus auch Druck von Kunden oder der Community, bestimmte Teile einer bisher privaten API öffentlich zu machen. Wenn man weiß, dass private APIs benutzt werden (Logitech hat zugegeben, dass Sie wissen, dass die Schnittstellen benutzt werden), dann kann ein vernünftiger Software-Manager nicht einfach trotzdem knallhart alles ohne Ankündigung abschalten. Stattdessen müssen entweder Alternativen aufgezeigt werden, oder die private API muss halt einfach öffentlich dokumentiert werden. Keines von beiden ist bei Logitech passiert.

      Ich finde Logitech sollte sich mal um Schadensminimierung bemühen und eine vernünftige offizielle lokale API anbieten.

  20. Ich hoffe Ihr macht auch wenn Amazon aktuell keine Rezessionen mehr Zu lässt Eurem Kummer Luft.

    Leider können wir Rezensionen dieses Artikels nicht annehmen. Bei diesem Produkt bestehen Beschränkungen für die Übermittlung von Rezensionen. Das kann verschiedene Gründe haben, beispielsweise ungewöhnliche Rezensionsaktivitäten.

  21. Unverschämt !!

Schreibe einen Kommentar

Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert.

Du willst nichts verpassen?
Neben der E-Mail-Benachrichtigung habt ihr auch die Möglichkeit, den Feed dieses Beitrags zu abonnieren. Wer natürlich alles lesen möchte, der sollte den Hauptfeed abonnieren. Alternativ könnt ihr euch via E-Mail über alle neuen Beiträge hier im Blog informieren lassen. Einfach eure E-Mail-Adresse hier eingeben, dann bekommt ihr 1x täglich morgens eine Zusammenstellung. Mit dem Absenden willigst du unserer Datenschutzerklärung und der Speicherung von dir angegebener, personenbezogener Daten zu.
Wir benutzen Cookies um die Nutzerfreundlichkeit der Webseite zu verbessern. Durch Deinen Besuch stimmst Du dem zu.