Smart Locks: 12 von 16 lassen sich hacken
In Las Vegas findet gerade die DEF CON statt, ein Treffen der Elite der Hacker und Sicherheitsforscher. Sie bringen uns Nachrichten wie 900 Millionen gefährdete Android-Geräte oder nun eben die Angreifbarkeit von Smart Locks. Wie Ihr vielelicht wisst, nutze ich selbst ein Smart Lock, Nuki erfreut sich bei uns weiterhin großer Beliebtheit. Ich bin mir auch bewusst, dass so ein Smart Lock ein gewisses Sicherheitsrisiko birgt, da es eben im Zweifelsfall per Funk angreifbar ist. Das zu verhindern ist Aufgabe der Hersteller, die allerdings kein allzu großes Interesse an einer Absicherung haben, wie Anthony Rose erfahren musste.
Zusammen mit Ben Ramsey hat er 16 Bluetooth Smart Locks getestet (von Nuki ist leider keine Rede), 12 von ihnen waren angreifbar. So angreifbar, dass sich das Schloss entweder öffnen ließ oder der eigentliche Nutzer keinen Zugriff mehr auf das Schloss bekommt. Wie man es in Sicherheitskreisen eben macht, wurden die Hersteller informiert. Zwölf an der Zahl, ein einziger antwortete, teilte aber auch mit, dass man das Problem nicht lösen würde. Autsch.
Die Probleme finden sich dabei nicht in der Bluetooth-Übertragung selbst, sondern in der Implementierung durch die Hersteller. Da werden Passwörter unverschlüsselt übertragen (und können somit unterwegs abgefangen werden), oder das Passwort wird verschlüsselt übertragen, lässt sich aber auch verschlüsselt abfangen und nutzen.
Einen in meinen Augen besonders kuriosen Fall lieferte das Smart Lock von Okidokey. Es kommt mit einer eigenen Verschlüsselung. Ändert man hiervon nur einen Teil – was die Verschlüsselung ja „kaputt“ macht, begibt sich das Schloss in einen Fehlermodus – und sperrt auf.
Wenn man das alles so liest, kann man sich durchaus fragen, ob Smart Locks nicht ein Segen für Einbrecher sind. Ich behaupte weiterhin nein. Denn wer in ein fremdes Haus oder eine fremde Wohnung möchte, der nimmt nicht den Weg über das Schloss (es sei denn der Schlüssel steckt). Ein Fenster ist für einen Profi nach wie vor schneller ausgehebelt als ein Smart Lock geknackt, in der Regel gibt es von außen ja keinen Hinweis, dass hinter der Tür ein Smart Lock seinen Dienst verrichtet.
Das Ganze betrifft aber nicht nur Schlösser, die an Türen befestigt sind. Auch Vorhängeschlösser gibt es als Smart Lock, hier hatten die Forscher in einem Fall schon etwas mehr Aufwand, um das Schloss zu knacken. Zeigt auch sehr schön, dass man mit einem Bolzenschneider oder ähnlichen Hilfsmitteln wohl effektiver unterwegs ist:
[color-box color=“gray“ rounded=“1″]It was harder, but not impossible, for Rose and Ramsey to crack the Mesh Motion Bitlock bicycle lock. Using free software, they replicated the lock’s wireless profile on an Android phone, then were able to stage a man-in-the-middle attack on the traffic flowing between the Bitlock, its smartphone app and Mesh Motion’s cloud servers.[/color-box]Ihr versteht hoffentlich worauf ich hinaus will. Ja, die Smart Locks mögen theoretisch angreifbar sein, in der Praxis ergibt der Aufwand aber keinen Sinn, da es eben viel einfachere Möglichkeiten gibt, in einen verschlossenen Raum zu gelangen. Immerhin gut zu wissen, dass es nicht am Bluetooth-Protokoll selbst liegt, sondern an den Herstellern. Und natürlich kann der Kunde erwarten, dass sich ein Hersteller um die Sicherheit kümmert. Was hier offensichtlich nicht der Fall ist. Aber auch hier werden sich die durchsetzen, die es in den Augen der Kunden richtig machen, man darf ja nicht vergessen, dass Smart Locks oder auch andere IoT-Geräte gerade erst auf dem Markt ankommen.
„Bei mir wird es kein SmartLock geben! Da könnte ich kein Auge zu machen. Das ist so sicher wie den Zweitschlüssel unter dem Fußabtreter liegen zu lassen.“
@Marcel: Danke, so sehe ich das auch. Ginge praktisch hier auch gar nicht (da „Hebel“ statt Knauf innen). So lange sich die Hersteller einen feuchten Kehricht um Sicherheit kümmern schon gar nicht.
@Sascha
Ich sehe das mit der Wahrscheinlichkeit zwar momentan noch wie du, aber bei den Smartschlössern bin ich durchaus noch skeptisch. Überleg doch mal: heise hat hin und wieder irgendwelche offenen SKADA-Systeme online mittels Googlesuche gefunden. Auch wenn dein Schloss nicht im Internet ist, früher oder später geht da mal jemand durch die Tür, wenn du nicht da bist. Frag doch vorsichtshalber mal bei deiner Versicherung an. Riskieren würde ich das nämlich nicht, zumal du im Netz ja auch nicht unbekannt bist. Da muss nur mal der Falsche den Beitrag hier lesen und dich nachts besuchen kommen. Dann fällt dir nämlich auch ein Typ mit Laptop auf dem Arm direkt vor deiner Haustür nicht auf.
*IRONIE* Ein mechanisches Türschloss am Auto ist auch VIEL sicherer als die Fernbedienung… Daher fährt von den Kritikern hier auch KEINER ein entsprechendes Auto. Ach nee, sie fahren gar kein Auto, weil ein gestohlenes Auto keine Spuren für die Versicherung hinterlässt…
Und Online-Banking nutzt von den „sachlichen“ Kritikern vermutlich auch KEINER 😉
Klar ist, dass man sich über die Sicherheit Gedanken machen sollte, bevor man ein mechanisches oder elektronisches Schloss kauft und dies sollte man dann auch beim Autokauf machen, wenn man davor so große Angst hat.
@Maik und da kommt dann auch gleich die passende Meldung zu Autoschlüsseln – kurz gesagt, es ist ein Fiasko:
http://www.tagesschau.de/inland/funkschluessel-auto-101.html