Gadgets

Sicherheitslücke bei Low-Budget-Smart-Devices

Wie jetzt bekannt wurde, steckt hinter den meisten smarten Schaltsteckdosen, Küchengeräten und Lampen, die momentan im unteren Preissegment angeboten werden, der chinesische Hersteller Tuya. Allerdings stehen diese Produkte nicht immer mit dem Label des Herstellers in den Regalen, sondern können durchaus auch andere Hersteller-Labels aufweisen. Das Unternehmen bietet anderen Firmen nämlich die Möglichkeit, Tuya-Produkte für 1.500 US-Dollar umgelabelt und mit einer eigenen App zu vertreiben.

Auch in Deutschland sind viele smarte Schaltsteckdosen und Steckleisten zu finden. Daher ist davon auszugehen, dass auch in den gängigen Baumärkten oder Discountern sämtliche Produkte, die Begriffe wie WLAN oder Smart Home aufweisen, von dem Hersteller Tuya stammen, unabhängig von dem auf den Produkten aufgedruckten Label. Weltweit sind laut Aussagen des chinesischen Herstellers knapp 11.000 dieser Produkte im Umlauf. Auf der Platine selbst wird zumeist der Mikrocontroller ESP8266 von Espressif verbaut. Dieser sorgt für die Verbindung via WLAN und kommuniziert über diese mit der Tuya-Cloud. Die Steuerung der Smart-Devices findet dann immer durch die Tuya-Cloud statt, unabhängig vom aufgedruckten Hersteller. Die ausschließlich für die Schein-Hersteller zugängige Kundenplattform von Tuya offenbart die Sammelwut des wahren Produkt-Herstellers. So werden dort die genauen Standortdaten des IoT-Geräts gespeichert. Möglich wird dies durch die Smartphone-GPS-Daten, die bei der Einrichtung des Devices abgerufen werden. Auch das Ein- beziehungsweise Ausschalten ist nur ein Teil der vielen Daten, die gespeichert werden.

Damit die Verbindung zwischen dem jeweiligen Smart-Device, dem eigenen WLAN-Netz und die anschließende Kommunikation mit der Cloud reibungslos abläuft, verwendet Tuya das Smartconfig-Provisionierungsverfahren. Mit dem Download der Tuya-App und dem Smart-Device auf Anlern-Modus eingestellt, werden in der besagten App die Zugangsdaten für das heimische WLAN hinterlegt. Um das Gerät später in der Cloud eindeutig zu identifizieren, fragt die App bei Tuya einen Token ab. Im Anschluss daran versendet das Handy Broadcast-Pakete ins WLAN.

Das genannte Verfahren wirkt auf den ersten Blick nicht auffällig, allerdings schneidet das Tuya-Device sämtliche Pakete im WLAN mit. Diese sind zwar in der Regel verschlüsselt, jedoch können die Paketlängen auch von verschlüsselten Paketen gelesen werden. Durch diese werden die zu übertragenden Informationen durch die Tuya-App codiert, dies betrifft die SSID des WLAN-Netzes, den WLAN-Schlüssel und das Token für die Cloud. Somit verfügt das Smart-Device über alle benötigten Informationen, um sich über das WLAN mit der Tuya-Cloud zu verbinden. Problematisch wird es dabei sobald jemand mithört. Denn er oder sie wäre in der Lage, die WLAN-Zugangsdaten ebenfalls abzugreifen.

Nach erfolgreicher Verbindung sendet das Smart-Device den Token unverschlüsselt an die Cloud. Von dieser erhält man dann die Schlüssel für die Verschlüsselung der folgenden MQTT-Kommunikation, ebenfalls via http-Protokoll. Im Anschluss meldet sich das Tuya-Device an einem MQTT-Server des Herstellers an. Zwar ist die MQTT-Nutzlast mit AES-128 verschlüsselt, es wird jedoch keine Transport-Layer-Security (TLS) genutzt. 

Durch das Abgreifen des Tokens ist es möglich, die Firmware auf den Geräten zu manipulieren und so Schadcode einzuschleusen. Anschließend lässt man das Ganze als Retoure an den jeweiligen Händler zurückgehen und der nächste ahnungslose Kunde wird zum Opfer.

Jedoch ist es so ebenfalls möglich, eine Open-Source-Firmware aufzuspielen, die ohne Kommunikation mit der Cloud auskommt, und so das Tuya-Device mit einem handelsüblichen Raspberry-Pi zu kontrollieren. Ganze ohne App und zudem noch offline.