ehome-news.de Smarte Technologien für zu Hause
Vernetzte Türschlösser haben viele Vorteile – unter anderem virtuelle Schlüssel, die sich nach Belieben verteilen und wieder einkassieren lassen. Doch in Sachen Smartlock Sicherheit sieht es scheinbar mau aus.
Das ist passiert
Auf der Defcon 2016 haben die beiden Hacker Anthony Rose und Ben Ramsey ihre Ergebnisse zur Smartlock Sicherheit präsentiert. Und die hatten es in sich. Denn 12 der 16 getesteten Bluetooth Türschlösser ließen sich knacken. Und zwar zum Teil spielend leicht. Bevor es gruselig wird: Die schwachen Schlösser sind in Deutschland im Normalfall nicht verbreitet. Die Chance, dass Ihr vernetztes Schloss zu den gerügten Kandidaten zählt ist also ziemlich gering.
So schlecht steht es um die Smartlock Sicherheit
Alle getesteten Smartlocks kommunizieren über Bluetooth – und einige haben eklatante Lücken im Zaun oder erst gar keinen Zaun errichtet. Auf den ersten Blick könnte man an einen schlechten Witz denken: Zwei Modelle tauschen Passwörter direkt zweimal im Klartext aus. Wer die Bluetooth-Signale abfängt, braucht nur noch Zettel und Stift bzw. imitiert einen so genannten Return-Befehl und sendet ein neues Passwort in Richtung Türschloss. Ergebnis: Der Hacker ist drin, der Bewohner ausgesperrt. Andere Hersteller gehen einen Schritt weiter und verschlüsseln die Passwörter. Das ist generell gut. Blöd nur, wenn die verschlüsselten Passwörter zum Abgleich gar nicht mehr entschlüsselt werden. So benötigt man nur das verschlüsselte Datenpaket, schickt es an das Schloss und bekommt Zugang. Und dann gibt es noch einen Fall von höherer, aber trotzdem schwacher Smartlock Sicherheit. In diesem Fall funktionierte die Verschlüsselung nach Plan. Allerdings kamen dabei ziemlich schwache und dadurch leicht vorhersehbare Schlüssel zum Einsatz. Mit einem Man-in-the-middle-Angriff und ausreichend Traffic lässt sie sich schnell knacken.
Das Problem: Hersteller bleiben stur
Selbstverständlich haben die beiden Hacker ihre Ergebnisse nicht nur auf der Defcon 2016 zum Besten gegeben, sondern auch alle betreffenden Hersteller über die Missstände in puncto Smartlock Sicherheit informiert. Ähnlich wie beim eigentlich Test fiel auch hier das Ergebnis ernüchternd aus: Bloß ein Hersteller habe auf den Hinweis reagiert und geantwortet. Unter den getesteten Hersteller waren Quicklock, Plantraco, iBlulock, Mesh Motion und Ceomate.
Den Beitrag der Hacker auf Englisch können Sie auf www.tomsguide.com nachlesen.
