Sicher & Anonym

Nicht ganz so smart

Trotz des Hacks im Dezember 2018 nimmt es der Hersteller Tuya immer noch nicht genau mit der Sicherheit – Die Geräte bleiben eine potenzielle Gefahr für das Heimnetz

Der chinesische Hersteller Tuya hat fast alles, was das Smart-Home-Herz begehrt. Er bietet Unternehmen gegen eine geringe Gebühr von 1500 US-Dollar an, sich die „eigene“ Smart-Home-Produktpalette auf seiner Webseite zusammenzuklicken. Den Service bewirbt Tuya mit „military grade security“ und als „GDPR compliant“, also DSGVO-konform.

Wie viele Tuya-Geräte wirklich im Umlauf sind, kann man kaum überblicken – der Hersteller spricht von 93.000 Partnern mit 30.000 Produkten. Wer zu Hause eine günstige Schaltsteckdose aus dem Baumarkt oder von Amazon, Pearl oder Ebay hat, besitzt wahrscheinlich ein verkapptes Tuya-Gerät.

Sicherheit: Fehlanzeige

Im Dezember 2018 zeigte Michael Steigerwald vom IT-Start-up VTRUST, dass Tuya die proklamierte „military grade security“ alles andere als ernst nimmt. Wie berichtet wurde, erklärte der Sicherheitsforscher, dass Tuya seine Geräte nahezu unverschlüsselt anbietet. Mithilfe einer eigenen Mini-Firmware gelang es Steigerwald, die originale Tuya-Firmware zu sichern und eine eigene einzuspielen. Technisch versierte Kriminelle könnten das ausnutzen, um Geräte in großen Stückzahlen zu manipulieren und als Heimnetz-Einfallstor wieder auf den Markt zu bringen.

Einen Monat nach der Bekanntgabe der Lücke kündigte Tuya ein Update an, das die Probleme lösen sollte. Statt das Update verpflichtend auf die Geräte aller Zwischenhändler zu übertragen, entschied der Hersteller, dass jeder Händler einzeln der Änderung zustimmen müsste. Die Lücke klafft somit immer noch in vielen Geräten.

Neues altes Verfahren

Im September 2019 wurde das neue Verfahren geknackt: Tuya hatte versucht, die Verbindung zur Cloud mit fehlerhaft implementierter symmetrischer TLS-Verschlüsselung zu sichern. Der Weg zum Firmware-Hack bleibt weiterhin offen. Zwar muss die Update-Datei signiert sein, doch auch hier hat Tuya geschludert: Die Signatur berechnet sich aus der SHA256-Prüfsumme der Update-Datei und dem zuvor unverschlüsselt gesendeten „SecKey“.

Tuyas schlecht umgesetztes neues Verfahren führt dazu, dass auch weiterhin modifizierte Geräte mit bösen Absichten in den Umlauf kommen könnten. Solche mit ESP8266/85 kann man aber in wenigen Schritten zum cloudlosen eigenständigen Smart-Home-Aktor machen.

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben