AV-TEST-Studie: 7 Smart-Home-Starter-Kits im Sicherheits-Test

AV-TEST-Studie7 Smart-Home-Starter-Kits im Sicherheits-Test

Michael Schiefer MScUlf Loumlsche

Dipl-Ing Maik Morgenstern

Editing und Executive SummaryMarkus Selinger

28 April 2014121

wwwav-testorg

Executive Summary

Im ersten groszligen Test von Starter-Kits fuumlr Smart-Home-Loumlsungen koumlnnen die Experten vonAV-TEST leider keine Entwarnung geben Nur 3 von 7 Kits sind gegen Angriffe gut gesichertder Rest ist gegen interne und zum Teil externe Angriffe schlecht geschuumltzt Das bedeutetmelden sich ungeschuumltzte Smart-Home-Geraumlte im Internet wird das heimische Netz durch dieHintertuumlr gekapert Die minimal geschuumltzten Smart-Home-Geraumlte wird man bald mit Trojanernangreifen die sich dann bei einem erfolgreichen Angriff nicht im PC sondern etwa im Speicherdes Rauchmelders verstecken

Ist das Smart-Home-Konzept voumlllig unsicher

Die Grundidee hinter der Smart-Home-Technik ist natuumlrlich sehr gut in Zukunft sollen sich alleKomponenten im Haushalt uumlberwachen und steuern lassen Alle Komponenten die Zugangzum heimischen Netz und dadurch vielleicht Zugriff auf das Internet haben sind potentiellangreifbar Das bedeutet aber nicht dass sie auch potentiell unsicher sind

Der aktuelle Test belegt dass einige Anbieter ihre Geraumlte nicht blindlings auf den Marktgeworfen sondern ein Sicherheitskonzept mit eingearbeitet haben

Im Test waren die folgenden Smart-Home-Kits die primaumlr durch groszlige Firmen vertriebenoder auch exklusiv angeboten werden es erfuumlllen zwar nicht alle Kits die gleichen Aufgabenim Haushalt aber vergleichbar sind sie dennoch

bull iConnect von eSaver

bull tapHOME von EUROiSTYLE

bull Gigaset Elements von Gigaset

bull iComfort von REV Ritter

bull RWE Smart Home von RWE

bull QIVICON von der Telekom

bull XAVAX MAX von Hama

3 mal sicher vs 4 mal unsicher

Das Ergebnis des Tests wird einige Hersteller hoffentlich zur Nachbesserung ihrer Produktebewegen

Die Sets Gigaset Elements RWE Smart Home und QIVICON boten im Test eine gute Absi-cherung vor An- und Eingriffen

Die Sets iComfort und tapHOME sind vor Angriffen im eigenen Netz ungeschuumltzt Die KitsiConnect und XAVAX MAX sind gegen Angriffe im eigenen Netz und von auszligen recht machtlos

Das koumlnnen die Sets smart lenken

Die Kits haben diverse Aufgaben in einem smarten Haushalt und lassen sich folgendermaszligenaufteilen

bull Kontrollsystem fuumlr Strom Heizung amp SicherheitRWE Smart Home und QIVICON

bull Uumlberwachungssystem fuumlr Fenster Tuumlren und Wohnraumlume Gigaset Elements

bull Kontrollsystem fuumlr Schaltsteckdosen iComfort tapHOME iConnect

bull Schaltsystem fuumlr Licht Heizung und Strom MAX

Bei den verschiedenen Aufgaben laumlsst sich ein Horror-Szenario bei der Uumlbernahme durchauszligen schnell finden man koumlnnte zum Beispiel eine gekaperte Heizungssteuerung so herun-terregeln dass im tiefsten Winter die Wasserleitungen einfrieren und platzen wuumlrden

Da aber Angreifer in der Regel hinter Geld oder wertvollen Daten her sind sind folgendeSzenarien wahrscheinlicher anhand der aktuellen An- und Abschaltplaumlne der Geraumlte laumlsstsich ersehen wann die Bewohner eines Hauses da sind und wann nicht Laumlsst sich dannauch noch die Sicherheitsuumlberwachung fuumlr Fenster und Tuumlren abschalten hat ein Einbrecherleichtes Spiel

Ebenfalls wahrscheinlich alle verbunden Geraumlte greifen uumlber das heimische Netz weitereGeraumlte an und nehmen sie als Geisel ndash sperren den Zugriff darauf Erst gegen eine Zahlungwird die Sperre vermeintlich aufgehoben In dieser Art arbeitet etwa der BKA-Trojaner der PCssamt den darauf befindlichen Daten sperrt

Wo stecken die Schwachstellen

In der Sicherheitsuntersuchung fahndeten die Tester nach den Schwachstellen Daher unter-suchten sie jedes Starter-Kit auf dessen Schutzkonzept Dabei lag das Augenmerk auf der Ver-schluumlsselung bei der Kommunikation einer aktiven Authentifizierung der Manipulation durchExterne und auf der gesicherten Fernsteuerung Schlieszliglich lassen sich die Sets entweder perSmartphone-App oder via Browser per WLAN oder aus dem Web ansprechen

Verschluumlsselte Kommunikation

Bei der Nutzung im lokalen Netzwerk zur Steuerung und bei einem Firmware-Update solltedie Kommunikation verschluumlsselt erfolgen Ebenso bei der Steuerung der Komponenten viaInternet oder dem direkten Firmware-Update via Web

Die Sets Gigaset Elements RWE Smart Home und QIVICON erledigen die Kommunikationohne Sicherheitsmanko iConnect bietet eine Verschluumlsselung die aber leicht zu umgehen istDie Konzepte von iComfort tapHOME und XAVAX MAX versagen hier komplett ndash es findetkeine gesicherte Kommunikation statt

Aktive Authentifizierung

Selbst eine eigentlich zu erwartende Authentifizierung beim Zugriff auf die Geraumlte ist kein Stan-dard bei den Produkten Das Kit iComfort verlangt keine Authentifizierung Die Sets iConnectund XAVAX MAX verlangen zwar beim Zugriff via Web eine Authentifizierung aber intern gibtes keinerlei Barrieren Das ist fahrlaumlssig

Das Set von tapHOME verwendet intern zwar einen Benutzernamen und ein Passwort aberdas ist fast wertlos da die Kommunikation unverschluumlsselt ablaumluft und so jeder die Zugangs-daten abgreifen kann

Nur die Sets Gigaset Elements RWE Smart Home und QIVICON machen wieder einenfehlerfreien Job wie bereits beim Punkt verschluumlsselte Kommunikation

Manipulation durch Externe

Da einige Geraumlte nicht verschluumlsselt kommunizieren laumlsst sich eventuell Schadcode injizierenoder noch perfider den Geraumlten eine verseuchte Firmware unterschieben In beiden Faumlllenhaumltten Hacker schnell Zugriff auf die Geraumlte und damit eine fest installierte Hintertuumlr in dasheimische Netzwerk

Gesicherte Fernsteuerung

Der Fernzugriff ist gerade beim Smart-Home-Konzept eine wichtige Sache Schlieszliglich wollendie Nutzer ihre Komponenten via Smartphone-App oder Browser steuern Wieder fielen imTest die beiden Kandidaten iConnect und XAVAX MAX wegen eklatanter Schwaumlchen durchDie Kits von iComfort und tapHOME sind nicht gefaumlhrdet da sie keinerlei Fernsteuerung bieten

Die drei Sets Gigaset Elements RWE Smart Home und QIVICON arbeiten auch in diesemBereich gesichert und belegen damit ein insgesamt fehlerfreies Schutzkonzept

Fazit Hohe Sicherheit ist Trumpf

Wie eingangs bereits erwaumlhnt kann ein unsicheres Smart-Home-Kit die Hintertuumlr in Ihr hei-misches Netzwerk werden Daher ist es unerlaumlsslich dass die Produkte ein hohes Maszlig anSicherheit bieten Leider gibt es noch keinen Sicherheits-Standard wie er bei anderen Netz-werkgeraumlten etwa WLAN oder Routern vorhanden ist

Die Testergebnisse lassen kein anderes Fazit zu als dass im Moment nur die Sets GigasetElements von Gigaset RWE Smart Home von RWE und QIVICON von der Telekom empfeh-lenswert sind

Die Hersteller bzw Vertreiber der Starter-Kits iConnect tapHOME iComfort und XAVAXMAX muumlssen ihre Produkte in Sachen Sicherheit uumlberarbeiten um sie auf einen guten Standzu bringen

Blick in die Zukunft

Bei keinem der Sets gehoumlrt im Moment die Uumlbertragung von Bild und Ton mit zur AusstattungDie Tester haben aber bei dem groszligen Test bereits die Vorbereitung von Schnittstellen fuumlr

Webcams mit Mikrofon gefunden Auch der Zugriff auf passend ausgestattete Kuumlchengeraumltewie einen Kuumlhlschrank oder eine Kaffeemaschine wird nicht lange auf sich warten lassenSchlieszliglich ist die Technik dazu leicht in der Lage Der Gedanke dass ein Fremder auf allediese Geraumlte Zugriff hat loumlst bei manchem Nutzer kalte Schauer aus

Dazu kommt dass Marktforscher einen weltweiten Umsatz mit Smart-Home-Produkten vonuumlber 15 Milliarden Dollar bis zum Jahr 2015 erwarten Das klingt viel aber erst vor kurzemhat Google bereits die Firma Nest Labs fuumlr 32 Milliarden Dollar gekauft Der Suchmaschinen-Riese wird in dem Bereich Druck machen den Nest Labs produziert die steuerbaren Smart-Home-Komponenten Thermostate und Feuermelder

Produkt Gigaset Elements RWE Smart Home QIVICON iComfort tapHOME iConnect XAVAX MAXAnbieter Gigaset RWE Telekom REV Ritter EUROiSTYLE eSaver HamaEnthaltene Komponentenund Software

Gateway Tuumlrsensor

Bewegungssensor

Smartphone-App

rdquoGigaset Elementsrdquo

Gateway

Steckdosenschalter

(EinAus)

Wandschalter (2 Tasten)

Heizkoumlrperthermostat

Online-Portal

mobiles Online-Portal

lokales Portal

Smartphone-App

rdquoRWE SmartHomerdquo

Gateway

Steckdosenschalter

(EinAus)

Rauchmelder

Smartphone-App

rdquoSmart Homerdquo

Gateway

2 Steckdosenschalter

(EinAus)

Smartphone-App

rdquoREV iComfortrdquo

Gateway

Steckdosenschalter

(EinAus)

Dimmbare Steckdosesbquo

Smartphone-App

rdquotapHOME Hausautomati-

sierungrdquo

Gateway

(EinAus)

Smartphone-App

rdquoeSaver Cloudrdquo

Gateway

2 Heizkoumlrperthermostate

Eco-Wandschalter (Wech-

sel EcoAuto)

Fensterkontakt

MAX Desktop Software

Webportal

Enthaltene SchutzfunktionenVerschluumlsselteKommunikation

JA JA JA NEIN NEIN JA TEILWEISE

Aktive Authentifizierung JA JA JA NEIN JA nur bei Webzugriff nur bei WebzugriffManipulation durch Externe Keine Moumlglichkeit Keine Moumlglichkeit Keine Moumlglichkeit Keine Moumlglichkeit Keine Moumlglichkeit Anfaumlllig fuumlr Manipula-

tionenAnfaumlllig fuumlr Manipula-tionen

Gesicherte Fernsteuerung Wirksamer Schutz Wirksamer Schutz Wirksamer Schutz Kein Fernzugriffmoumlglich

Kein Fernzugriffmoumlglich

Anfaumlllig fuumlr Manipula-tionen

Testergebnis Guter Schutz Guter Schutz Guter Schutz Anfaumllliger Schutz Anfaumllliger Schutz Zu schwacherSchutz

Zu schwacherSchutz

Erlaumluterung WirksamesSchutzkonzept

WirksamesSchutzkonzept

Kein Schutz gegen in-terne Angriffe

Kein Schutz gegen in-und externe Angriffe

Bemerkungen keine Konfiguration nur mitWeb-Zugang moumlglich

Verschluumlsselungsme-thode koumlnnte nochbesser sein

Lokal eingedrungeneSchadsoftware kannsich einnisten

Keine Huumlrden fuumlrAngreifer Remote-Zugriff angreifbar

LuumlckenhafteVerschluumlsselung laumlsstAngreifern freie Hand

Gesamtergebnis bdquo7 Smart-Home-Starter-Kits im Sicherheits-Testldquo

Im groszligen Sicherheitstest von AV-TEST konnten nur die Smart-Home-Loumlsungen Gigaset Ele-ments RWE Smart Home und QIVICON uumlberzeugen Die Sets kommunizieren verschluumlsseltund bieten einen wirksamen Schutz gegen einen nicht autorisierten Zugriff

Inhaltsverzeichnis

Executive Summary 2

1 Einleitung 7

2 Testuumlbersicht 921 Testaufbau 922 Testablauf 1023 Verschluumlsselungen 1124 Erprobung von Theorien 11

3 Getestete Produkte 1331 Funktionsuumlbersicht 1332 Produktbeschreibungen 1433 Tabellarische Komponentenuumlbersicht 15

4 Testergebnisse 1641 Uumlbersicht 1642 Details 17

421 eSaver iConnect 18422 EUROiSTYLE tapHOME 20423 Gigaset Gigaset elements 25424 REV Ritter iComfort 28425 RWE RWE SmartHome 30426 Telekom QIVICON (Smart Home) 33427 Xavax MAX 35

43 Resultierende Gefahren 41

5 Informierung der Hersteller 4251 Zeitleiste 4252 Antworten der Hersteller 42

521 EUROiSTYLE tapHOME - 2014-02-05 42

6 Einschaumltzung 43

7 Ausblick 46

Literatur 47

1 Einleitung

Seit einiger Zeit finden Smart-Home-Produkte eine immer groumlszligere Verbreitung und immer mehrFirmen draumlngen auf diesen Markt Nicht selten werden dabei vorhandene Geraumlte gekoppelt undmit dem Internet verbunden Die Folge sind uumlber das Internet verwundbare Systeme Mit spe-ziellen Suchmaschinen wie bdquoShodanldquo lieszligen sich so schon Ampelanlagen und Sicherheitska-meras aber auch Kontrollanlagen einer Badeanstalt und sogar Teile eines Nuklearkraftwerkesaufspuumlren[Goldman 2013]

Natuumlrlich bedeutet die Auffindbarkeit im Netz nicht automatisch eine Verwundbarkeit doches kommt immer wieder vor dass die Sicherheit waumlhrend der Entwicklung nicht bedacht odervernachlaumlssigt wird

Der Begriff Smart Home ist dabei keineswegs einheitlich definiert Fuumlr die Einen bedeutet ereine Verbesserung bestehender Funktionen wie etwa noch effizientere Kuumlhlschraumlnke Fuumlr dieAnderen sind es ganz neue Geraumlte die bestehende Funktionen mit dem Internet verbindenDies sind dann beispielsweise Kuumlhlschraumlnke die uumlber ihren Inhalt Bescheid wissen und vomBenutzer waumlhrend des Einkaufs befragt werden koumlnnen

Abbildung 1 Beispielkategorien

Aufgrund dieser Ansicht mit der Verbindung zum Internet gibt es auch den alternativen Be-griff Internet der Dinge bzw Internet of Things Basierend auf dem Fokus der von den Betei-ligten bei Smart Home gesehen wird ergeben sich viele weitere Alias allein [Brucke 2009]zaumlhlt auf Intelligentes Haus Haus der Zukunft Multimedia Home Digital Home (ConsumerElectronics) Internet Home e-home und Intelligentes Wohnen Smartes Wohnen Wie auchbei den Firmen gibt es eine Vielfalt von Begriffen die alle dasselbe beschreiben aber doch

etwas leicht anderes meinen Doch in einem sind sich alle einig Smart Home sei die (unaus-weichliche) Zukunft

Bild 1 zeigt wo die Reise hingehen kann Quasi das gesamte Haus ist vernetzt Fuumlr diver-se Bereiche gibt es schon die ersten Vorboten seien es Bluetooth-Toiletten aus Japan oderFuumltterungsautomaten fuumlr Tiere

Das sind schon zwei gute Gruumlnde um sich einige Smart-Home-Starter-Kits genauer anzu-sehen Hauptauswahlkriterien waren die Verfuumlgbarkeit in Deutschland und der Heimanwenderals Marktziel

Die sieben untersuchten Systeme variieren stark in der Umsetzung dem Funktionsumfangaber auch in der IT-Sicherheit Bei den Tests wurde nur an der Oberflaumlche der Moumlglichkeitengekratzt und dennoch ergaben sich teils erhebliche Probleme

2 Testuumlbersicht

Im Folgenden werden die Tests beschrieben Es wird zuerst auf den Aufbau eingegangen Dadie untersuchten Systeme unterschiedlich sind sind auch die entsprechenden Testaufbautenunterschiedlich Deshalb gibt es an dieser Stelle eine allgemeine Beschreibung

Im Anschluss wird der Ablauf der Tests kurz beschrieben auch hier wird eine eher abstrakteForm gewaumlhlt

Die hier angegebenen und die durchgefuumlhrten Tests stellen erste Betrachtungen dar Siebieten einen ersten Uumlberblick und ermoumlglichen bei spaumlteren Untersuchungen einen tieferenEinblick Im Kern werden die Verbindungen des Produktes in das lokale Netzwerk und ins In-ternet uumlberpruumlft und bzgl Verschluumlsselung und Authentifizierung betrachtet Darauf aufbauendwerden die Folgen von Sicherheitsproblemen betrachtet das Mitlesen von Daten und Manipu-lieren der Geraumlte Der Missbrauch der Geraumlte fuumlr andere Zwecke wie dem Versand von Spamwurde nicht betrachtet

21 Testaufbau

Das Bild 2 zeigt schematisch einen allgemeinen Testaufbau Das zu untersuchende Geraumlt istan einen Router angeschlossen was in bisher allen Faumlllen per Ethernet stattfand Ein Mobil-telefon fuumlr eventuelle Apps ist per WLAN ndash hier 24 GHz ndash ebenfalls an diesen Router ange-schlossen auszligerdem zwei weitere Computer per Kabel Alle beschriebenen Geraumlte befindensich im selben Netz Fuumlr normale Anwendungen und browserbasierte Webseiten stehen einWindows-XP- und ein Windows-7-Computer zur Verfuumlgung

FritzBox

Wireshark-PC

Netz A das Internet

Netz B

Android-Debug-PC

Smartphone

Win7-PC

WinXP-PC

Gateway

irgendein PC

Geraumlte

Server

Abbildung 2 Schematischer Testaufbau

Der Router ist so konfiguriert dass er sein Internet uumlber einen LAN-Anschluss holt Ein Com-puter mit der Mitschnittsoftware Wireshark ist dazwischen eingebracht Auf diese Weise kannjede Kommunikation ins Internet beispielsweise zu den Servern des untersuchten Systemsidentifiziert werden Es muss einfach nur das entsprechende Kabel vom oder zum Wireshark-PC entfernt werden um das Internet aus dem Versuchsaufbau zu entfernen ohne das durchden Router aufgebaute Netzwerk zu zerstoumlren

Ein weiterer Mitschnitt von Netzwerkpaketen geschieht auf dem Router selbst Aufgrund vonOptimierung in diesem sind leider nicht alle abgreifbar Der Download geschieht auf einem derangeschlossenen Computer

Um vom Telefon Screenshots erstellen zu koumlnnen laumluft dieses im Debug-Modus und ist aneinen Computer auszligerhalb des Netzwerkes angeschlossen Fuumlr zeitkritische Testabschnittewerden diese notfalls wiederholt und beim Smartphone der Debugmodus deaktiviert um sodie ermittelten Ergebnisse nicht zu verfaumllschen

Auszligerhalb des beschriebenen Netzwerkes gibt es einen weiteren Computer Dieser besitztim Internet eine andere IP als alle Geraumlte des beschriebenen Netzwerkes Er stellt damit einenbeliebigen Rechner auf der Welt dar Er wird fuumlr die Simulation eines unberechtigten Zugriffesauf die Geraumlte durch einen potentiellen Angreifer im Internet verwendet

22 Testablauf

Ziel der Untersuchung ist die IP-basierte Kommunikation des Gateways bzw der Basisstati-on Diese Hardware dient zur Uumlberfuumlhrung der Befehle des Smartphones der Anwendungenoder des Webportals zu den einzelnen Geraumlten Jeder Befehl laumluft uumlber die Basisstation wassie auch fuumlr Angreifer besonders interessant macht Deshalb erscheinen Authentifizierung undVerschluumlsselung als notwendig und deren Existenz wird untersucht Ferner sind moumlgliche An-griffsvektoren seit Jahren bekannt und wurden verfeinert Deshalb wird auch eine automatisier-te Version der Penetration-Software Metasploit in Form von Armitage fuumlr Vulnerability-Scansverwendet

Der Ablauf ist anfangs von den Herstellern vorgegeben es wird versucht die Installati-onsanleitung so genau wie moumlglich zu befolgen Allerdings wird das Internet zu Beginn ausdem Testaufbau verbannt um einer automatisierten Firmware-Aktualisierung entgegenzuwir-ken und auch einen moumlglichen Internetzwang zu identifizieren Folgerichtig muss die Anleitungdes Herstellers abgeaumlndert werden beispielsweise wird der Download der Smartphone-Appmittels Internet an den Anfang gestellt

Sobald sich die Testmoumlglichkeiten erschoumlpfen was bei Systemen mit Internetpflicht relativschnell geschieht wird dieses hinzugefuumlgt und das System erst einmal nur beobachtet Fallsnotwendig wird dann das System wie vom Hersteller vorgesehen eingerichtet oder bekannteInternetfeatures getestet

Ist das alles erledigt so werden die Protokolle analysiert und nach theoretischen Eingriffs-moumlglichkeiten gesucht die falls moumlglich auch real umgesetzt werden Dies stellt den letztenSchritt dar Bei SSL-Verbindungen findet jedoch keine Uumlberpruumlfung von Man-in-the-Middle-Erkennung statt Dafuumlr wird nachgesehen welche Version von SSL und welche Verschluumlsse-lungen verwendet werden Bei einigen Produkten werden viele SSL-Verbindungen hergestelltso dass diese nur stichprobenartig untersucht werden

23 Verschluumlsselungen

Fuumlr sichere Uumlbertragungen sind Verschluumlsselungen oft das Mittel der Wahl Die bloszlige Exis-tenz bietet allerdings keinen Schutz So gibt es Verfahren die nach heutiger Sicht als sichereingestuft werden aber auch sehr viele unsichere Dabei gilt es auch zu unterscheiden ob estheoretische oder praxisrelevante Angriffe gibt Diverse Verfahren sind theoretisch gebrochendoch die dafuumlr notwendigen Voraussetzungen sind in der Realitaumlt meist nicht gegeben SolcheVerfahren gelten dann je nach Schwere der Schwaumlche trotzdem noch als sicher

Fuumlr SSL kommen haumlufig RC4 3DES oder AES basierte Verschluumlsselungen zum EinsatzBeim RC4-Verfahren ist anzunehmen dass mindestens ein Geheimdienst dieser Welt diesesbrechen kann Auch wenn der dafuumlr noumltige Aufwand oder auch nur eine Bestaumltigung dessennicht bekannt sind sollte eine Verwendung vermieden werden 3DES oder Triple-DES gilt fuumlrdie Privatperson noch als sicher doch die geringe effektive Schluumlssellaumlnge von 112 Bit wirdoft als Grund genannt dieses Verfahren nicht mehr zu verwenden Es ist davon auszugehendass Firmen oder Einrichtungen mit groszligen Rechenkapazitaumlten schon heute 3DES brechenkoumlnnen Durch Cloud-Computing steht dies theoretisch auch Einzelpersonen zur VerfuumlgungDie bessere Wahl ist AES Fuumlr dieses Verfahren sind mit 128 192 und 256 Bit drei verschiedeneSchluumlssellaumlngen vorgesehen nach heutiger Sicht sind die 256 Bit auch die sichersten

Der eigentliche Verschluumlsselungsalgorithmus ist fuumlr die Sicherheit aber nicht alleinig ent-scheidend Auch die Version von SSL und der verwendete Modus sind wichtig Mit BEAST von2011 und Lucky Thirteen von 2013 gibt es Angriffe gegen AES im CBC-Modus in Verbindungmit der SSL-Version TLS 10 Die 2006 erschienene Version TLS 11 verhindert bereits BEASTdoch bis heute sind TLS 11 und die aktuelle Version TLS 12 von 2008 kaum verbreitet

Viele Entwickler-Bibliotheken fuumlr SSL versuchen von sich aus die Angriffe zu verhindern zBsollten die meisten aktuellen Versionen BEAST verhindern auch fuumlr TLS 10

Eine Aussage uumlber die Sicherheit ist folgerichtig nicht alleine aufgrund der exakten Ver-schluumlsselung und SSL-Version moumlglich Zusammen mit den verwendeten Bibliotheken kanneine Einschaumltzung vorgenommen werden ob ein System moumlglicherweise verwundbar ist oderob es wahrscheinlich als sicher angesehen werden kann Fuumlr praumlzisere Aussagen ist die Er-probung notwendig was im Rahmen dieser Arbeit nicht geschah Es wurden keine Angriffedurchgefuumlhrt

24 Erprobung von Theorien

Im Rahmen der Untersuchungen tauchten immer wieder moumlgliche Schwachstellen in den Pro-dukten auf Individuelle Schwaumlchen erfordern individuelle Loumlsungen zur Verifizierung dochmeist galt es bestimmte Netzwerkpakete an das Gateway des entsprechenden Produktes zuschicken Fuumlr die Uumlbertragung wurde meist TCPIP von den Herstellern verwendet Zum Ver-senden und Empfangen von einfachen Textnachrichten uumlber dieses Transportprotokoll bietetsich das Programm netcat an Dieses ist in vielen Linux-Distributionen enthalten und ist auchsonst weit verbreitet

Das Programm verfuumlgt uumlber keine grafische Oberflaumlche und wird per Konsole verwendetBeim Start werden die Adresse und der Port des Ziels angegeben Daraufhin baut netcat eineVerbindung zum Empfaumlnger auf Ist dies erfolgreich so koumlnnen Pakete durch Eingabe in die

Konsole versendet werden Nach jedem Druck auf Enter wird an dem eingegebenen Text einZeilenumbruch angefuumlgt alles in ein TCPIP-Paket gepackt und zum Ziel uumlbermittelt Vom Zieleintreffende Pakete werden direkt in der Konsole ausgegeben

Alle textbasierten auf TCPIP aufbauenden Protokolle wie zB HTTP koumlnnen so leicht ge-testet werden Prinzipiell ist es auch moumlglich nahezu beliebige Binaumlrdaten zu versenden dajeder eingegebene Text ndash auch wenn er unleserliche oder unguumlltige Zeichen enthaumllt ndash uumlbertra-gen wird Allerdings beschraumlnken Betriebssystem und Desktopoberflaumlche welche Bytefolgeneingegeben oder aus der Zwischenablage eingefuumlgt werden koumlnnen Oft wird beispielsweisedas Byte mit dem Wert 0 als Ende betrachtet und alles Nachfolgende ignoriert Da netcat aberbeim Start der Inhalt einer Datei uumlbergeben werden kann und netcat diesen versendet kannzumindest das erste Paket mit beliebigem Inhalt versendet werden Alles andere danach ist aufText beschraumlnkt

3 Getestete Produkte

Zum aktuellen Zeitpunkt wurden sieben Produkte untersucht Es war dabei wichtig dass essich um Starter-Kits fuumlr Privatpersonen handelt Ferner mussten die Produkte in Deutschlandverfuumlgbar sein

Zu Beginn werden die fuumlr die Untersuchungen relevanten Eigenschaften der Produkte auf-gelistet Im Anschluss erfolgt eine kurze Beschreibung welche die Anwendungsgebiete derStarter-Kits darlegt Diese lassen sich mit weiteren Komponenten teils erheblich ausbauen

31 Funktionsuumlbersicht

Im Folgenden werden die fuumlr die Untersuchung wichtigen Eigenschaften der Starter-Kits tabel-larisch dargelegt

UmfangSmartphone-App 4 4 4 4 41 41 82

Lokale Software 8 8 8 8 8 8 4

Webportal (im Internet) 8 8 43 8 4 4 4

Webportal (auf Gateway) 8 44 8 8 45 4 8

Fernzugriff 4 86 4 8 4 4 4

VerbindungenSmartphoneOslash Gateway 4 4 8 4 8 8 SmartphoneOslash Internet 4 4 4 4 4 4 SoftwareOslash Gateway 4

SoftwareOslash Internet 4

GatewayOslash Internet 4 4 4 87 4 4 4

4vorhanden 8nicht vorhanden nicht moumlglich

1 Nur mit Abonnement nutzbar anfangs kostenlos2 Es gibt mehrere Apps (von eQ-3 und ELV) aber in den beigefuumlgten Dokumenten

wurde keine spezifiziert3 Dies ist in den FAQs erwaumlhnt auf die in der Schnellstartanleitung verwiesen wird4 In den beigefuumlgten Dokumenten konnte kein Hinweis darauf gefunden werden5 Nur mit Silverlight und nach Installation von einem Modul nutzbar6 Dies war fuumlr Ende 2013 angekuumlndigt7 Mit Ausnahme von NTP konnte keine Internetverbindung beobachtet werden

Festgehalten wird ob das System uumlber eine Smartphone-App verfuumlgt Software existiertdie lokal installiert werden muss oder ob es ein Webportal gibt Das Webportal kann sowohlals im Internet gehostete Version vorliegen oder direkt auf dem Gateway des untersuchtenStarter-Kits laufen Auch haumllt die Tabelle fest ob ein Fernzugriff fuumlr das Produkt existiert

Danach werden die existierenden Verbindungen aufgelistet Ob die lokale Software mit demGateway kommuniziert oder nicht wird allerdings nur angegeben wenn es eine lokale Softwaregibt Aumlhnlich verhaumllt es sich mit den anderen Verbindungen

Es werden nur prinzipielle Angaben gemacht Nur weil das Gateway eine Verbindung insInternet hat bedeutet dies nicht dass diese immer besteht Es kann auch sein dass sie nurwaumlhrend eines Remote-Zugriff aktiv ist

32 Produktbeschreibungen

Untersucht wurde die Einbruchsdetektions-Loumlsung bdquoGigaset elementsldquo Das Set besteht auseiner Basisstation einem Bewegungssensor und einem Tuumlrsensor Das System soll erkennenwenn versucht wird gewaltsam in ein Haus einzudringen In dem Fall soll es einerseits Alarmgeben und andererseits den Bewohner per Nachricht in der Smartphone-App oder per E-Mailinformieren

Weiterhin im Test waren die Steckdosenschalter-Systeme iComfort von REV Ritter eSaversiConnect und tapHOME von EUROiSTYLE Waumlhrend das erstgenannte System uumlber zweiSteckdosenschalter verfuumlgt hat das eSavers iConnect vier im Paket In tapHOME gibt es ne-ben einem Schalter auch einen Dimmer fuumlr gewoumlhnliche Gluumlhlampen Uumlber die Schalter lassensich angeschlossene Geraumlte beispielsweise per App schalten Dazu ist das Zielgeraumlt in die Zwi-schensteckdose einzustecken und einzuschalten Wird dann die Steckdose eingeschaltet gehtauch das Geraumlt mit an So lassen sich zB Fernseher Lampen oder eine alleinstehende Koch-platte aus der Ferne aktivieren Eine Fernsteuerung ndash auszligerhalb der eigenen Wohnung ndash istbisher nur bei der Loumlsung iComfort vorgesehen

Das MAX System von Xavax vertrieben dient der Einsparung von Heizkosten Dafuumlr gibt esneben Heizthermostaten auch Fensterkontakte und Schalter Wird das Fenster geoumlffnet regeltdas Thermostat automatisch die Temperatur herunter auch Zeitprofile koumlnnen erstellt bzwveraumlndert werden Eine Steuerung ist auch uumlber die lokale Software oder nach Aktivierung perWebportal moumlglich

RWE bietet seinen Kunden eine spezielle Form des bdquoStarterpaketsldquo von RWE Smart Homekostenlos an Es besteht aus einer Zentrale einem Heizkoumlrperthermostat einem Wandtasterund einem Steckdosenschalter RWE sieht in seinen Produkten eine hohe Konfigurierbarkeitvor So ist es beispielsweise moumlglich basierend auf der vom Thermostat gemessenen Tempe-ratur den Steckdosenschalter zu bedienen Laut RWE sollen in Zukunft auch Produkte weitererHersteller unterstuumltzt werden Das Produkt erfordert fuumlr die Einrichtung und Konfiguration so-wohl Internet als auch das Flash-Player-Pendant Silverlight von Microsoft

QIVICON liefert nur das multifunktionale Herzstuumlck fuumlr Smart Home eine Basisstation ander dann Produkte von zugelassenen bzw unterstuumltzten Herstellern angeschlossen werdenkoumlnnen Das Starter-Kit der Telekom enthaumllt neben der Station von QIVICON noch vier wei-tere HomeMatic-Produkten einen Rauchmelder einen Steckdosenschalter und zwei Thermo-staten Zur Steuerung bietet die Telekom eine App fuumlr die Basisstation und eine fuumlr die ge-

koppelten Produkte Die Telekom nennt ihre Loumlsung bestehend aus der Basisstation den vierHomeMatic-Produkten und der App bdquoSmart Homeldquo Zur besseren Unterscheidung von RWEund anderen Produkten wird sie in diesem Dokument mit QIVICON bezeichnet

Bei einer genaueren Betrachtung faumlllt auf dass die Firma eQ-3 bei mindestens drei Sys-temen mitgewirkt hat So stammt das sowohl bei MAX als auch bei QIVICON eingesetzteFunkprotokoll BidCoS von eQ-3 Auch das Funkprotokoll von RWE haben sie entwickelt [eQ-3AG ] Genauso gab es auch einen Einfluss auf die Hardware der drei Systeme

33 Tabellarische Komponentenuumlbersicht

Tabelle 2 listet die sieben Systeme zusammen mit den fuumlr die Untersuchung verwendetenGeraumlten und der verwendeten Software auf

eSaver iConnectsbquo Gatewaysbquo 2 Steckdosenschalter (EinAus)sbquo Smartphone-App rdquoeSaver Cloudrdquo

EUROiSTYLE tapHOME

sbquo Gatewaysbquo Steckdosenschalter (EinAus)sbquo Dimmbare Steckdosesbquo Smartphone-App rdquotapHOME Hausautomatisierungrdquo

Gigaset Gigaset elements

sbquo Gatewaysbquo Tuumlrsensorsbquo Bewegungssensorsbquo Smartphone-App rdquoGigaset elementsrdquo

REV Ritter iComfortsbquo Gatewaysbquo 2 Steckdosenschalter (EinAus)sbquo Smartphone-App rdquoREV iComfortrdquo

RWE RWE Smart Home

sbquo Gatewaysbquo Steckdosenschalter (EinAus)sbquo Wandschalter (2 Tasten)sbquo Heizkoumlrperthermostatsbquo Online-Portalsbquo mobiles Online-Portalsbquo lokales Portalsbquo Smartphone-App rdquoRWE SmartHomerdquo

Telekom QIVICON

sbquo Gatewaysbquo Steckdosenschalter (EinAus)sbquo Heizkoumlrperthermostatsbquo Rauchmeldersbquo Smartphone-App rdquoSmart Homerdquo

XAVAX MAX

sbquo Gatewaysbquo 2 Heizkoumlrperthermostatesbquo Eco-Wandschalter (Wechsel Eco-Auto)sbquo Fensterkontaktsbquo MAX Desktop Softwaresbquo Webportal

Tabelle 2 Uumlbersicht uumlber die getesteten Produkte und ihre Komponenten

4 Testergebnisse

Basierend auf den Untersuchungen werden hier die Ergebnisse praumlsentiert Den Anfang bil-den dabei zwei zusammenfassende Tabellen die die Sicherheitsaspekte bzw die daraus re-sultierenden Gefahren aufzeigen Im Anschluss werden die Geraumlte einzeln betrachtet und dieProbleme bzw Eigenschaften mehr im Detail dargestellt

41 Uumlbersicht

Die Tabelle 3 stellt die verschiedenen Sicherheitsaspekte der Produkte dar Dies betrifft sowohldas Vorhandensein von Verschluumlsselung bei der Kommunikation als auch die Notwendigkeiteiner Authentifizierung und eines aktiven Internets An dieser Stelle findet noch keine Bewer-tung statt Ist eine Verschluumlsselung vorhanden so ist irrelevant ob diese sicher oder unsicherist ndash es wird nur das Vorhandensein festgehalten

Kommunikationsverschluumlsselunglokal Nutzung (zB Steuerung) 4 8 8 4 4 8

lokal Rest (zB Firmware-Update) 8 8 8 8

Web Nutzung (zB Steuerung) 4 4 4 4 8

Web Rest (zB Firmware-Update) 8 8 8 8 4 8

Authentifizierunglokal Nutzung 8 4 8 4 4 8

Web Nutzung 4 4 4 4 4

WeiteresInternet ist verzichtbar 4 4 8 4 8 8 4

offene Ports im Gateway 1 4 0 1 3 10 14gegeben 8nicht gegeben nicht moumlglich unbekannt

Tabelle 3 Sicherheitsaspekte der Produkte

In der Tabelle 4 wird basierend auf den Eigenschaften der Produkte eine Einschaumltzung vor-genommen ob Angreifer Geraumlte manipulieren oder Daten mitlesen koumlnnen Da die SSL-Ver-bindungen nicht direkt untersucht wurden sondern es nur einige Indizien zur Sicherheit oderAnfaumllligkeit gibt wurde fuumlr alle erst einmal der Optimalfall angenommen sie seien sicher Glei-ches gilt fuumlr Verschluumlsselungen die nicht identifiziert werden konnten

Mit erfasst wird ob Daten zum Hersteller bzw weiteren Dienstleistern gesendet werdenDies schlieszligt nicht-personenbezogene Daten mit ein wie etwa die momentan laufende Versiondes Geraumlts fuumlr eine Updatekontrolle oder zum Beispiel den Standort der Wohnung Lediglichdie Zeitsynchronisation mittels NTP-Kommunikation wurde ignoriert

In der Tabelle wurde das Stattfinden einer Kommunikation festgehalten Daraus resultierendie potentiellen Sicherheitsprobleme der Produkte Es findet aber keine Aussage daruumlber stattwelche Huumlrden potentielle Angreifer zu uumlberwinden haben

AnbieterUumlbermittlung Daten zu einem Anbieter 4 4 4 8 4 4 4

Angreiferlokal Daten mitlesen 4 4 4 8 8 4

lokal Geraumlte manipulieren 4 4 4 8 8 4

remote Daten mitlesen 4 4 8 8 8 4

remote Geraumlte manipulieren 4 8 8 8 4

4anfaumlllig 8nicht anfaumlllig nicht moumlglich

Tabelle 4 potentielle sicherheitsrelevante Probleme der Produkte

Neben dem Mitlesen und der Geraumltemanipulation ist auch der Missbrauch der Geraumlte fuumlrandere Zwecke ein moumlgliches Motiv der Angreifer Dies erfordert die Injizierung von eigenemCode bzw die Infizierung der Geraumlte beispielsweise per Uumlberspielung einer eigenen Firmwareauf den Geraumlten Dies wurde wie bereits erwaumlhnt in dieser Arbeit nicht weiter betrachtet undist damit in der Tabelle auch nicht aufgefuumlhrt Lediglich bei einem Produkt wurde die Firmware-Manipulation erprobt in den Details ist es auch beschrieben

42 Details

Jedes Produkt ist einzigartig und ist so auf eine individuelle Analyse angewiesen Die Analysenvon Metasploit bzw Armitage waren oft ergebnislos und die Suche nach funktionierenden Ex-ploits schlug immer fehl Lediglich die Analyse von nmap brachte die offenen Ports der Tabelle3 hervor und in seltenen Faumlllen ein paar weitere Informationen Aus diesem Grund werdendiese Angaben in den folgenden detaillierteren Aussagen zu den Produkten oft nicht erwaumlhnt

Festgehalten sind fuumlr jedes Produkt die Versionen der Firm- bzw Software sofern sie be-kannt sind Sie waren zum Zeitpunkt der Untersuchungen die jeweils aktuellsten Von einigengibt es mittlerweile neuere Varianten

421 eSaver iConnect

In den Untersuchungen kamen die Version 0111 der Smartphone-App und Version R0917des Gateways zum Einsatz Die Angaben wurden der App entnommen

In den Funktionstests lieszligen sich die Steckdosen meist problemlos schalten Nur in seltenenFaumlllen musste der Befehl ein zweites Mal gesendet werden

Nach dem Start holt sich das Gateway seine IP per DHCP Im Anschluss beginnt das Gate-way periodisch Pakete per UDP-Broadcast Port 25122 zu versenden Es wird dabei rund alle15 Sekunden ein Paket versendet

Die versendeten Bytes sind immer gleich es sind sechs Stuumlck sie lauten 07 12 10

Es ist nicht bekannt was diese Bytes bedeuten sollen Es ist nicht die MAC des GeraumltesEs gibt zwar eine Uumlbereinstimmung bei den letzten zwei Byte dies wird allerdings als Zufallangesehen

Was Datenblock vom PaketAgrave

(xor)ř

Len Num Key CS132800 Ein 07 B0 7C 68 7D 7D 6A 14 01 01 16 2FF132900 Aus 07 B3 A1 B5 A0 A1 AE 14 01 00 1D 3FF133000 Ein 07 B9 82 96 83 83 21 14 01 01 A3 2FF133100 Aus 07 BD 32 26 33 32 7E 14 01 00 4C 3FF133200 Ein 07 C1 C0 D4 C1 C1 21 14 01 01 E1 2FF133300 Aus 07 C5 0F 1B 0E 0F EC 14 01 00 E3 3FF

Tabelle 5 Testweise Analyse von einzelnen Paketen fuumlr den ersten Schalter BeiAgrave

sind diedem Schluumlssel (Key) folgenden Bytes als Ergebnis einer XOR-Verknuumlfung mit demSchluumlssel aufgelistet

Nach einem Verbindungsaufbau geschieht die Netzwerkkommunikation per TCP an den Port25123 Bei der Analyse erschienen die Netzwerkpakete erst relativ zufaumlllig dann waren ersteMuster sichtbar Innerhalb kurzer Zeit konnte ein moumlgliches Protokoll identifiziert werden sieheTabelle 5 Das Paket besteht dabei nicht nur aus dem Befehl an sich sondern auch aus einigenVerwaltungsbytes Dazu gehoumlren eine Checksumme am Ende und eine Art Schluumlssel an derdritten Stelle Der eigentliche Befehl ist mittels einer byteweisen Exklusiv-Oder-Verknuumlpfung(XOR) unkenntlich gemacht in der Tabelle 3 wurde dies als Verschluumlsselung gewertet JedesPaket hat einen eigenen Schluumlssel welcher immer mitgeschickt wird Ansonsten beginnt je-des Paket mit der Laumlnge in Bytes und einem hochzaumlhlenden Wert vermutlich der internenPaketnummer

Die erste Erprobung des potentiellen Protokolls geschah mittels netcat und Linux Beim Startdes Programms konnte per Datei ein Paket uumlbergeben werden welches direkt nach dem Ver-bindungsaufbau zum Gateway gesendet wurde Da das vorliegende Protokoll nicht textbasiertist konnte netcat nur fuumlr die Versendung von einem Paket verwendet werden Fuumlr eine Folgevon Befehlen wurde deshalb ein Programm entwickelt welches aumlhnlich arbeitet aber beliebige

Binaumlrdaten versenden kann Es hat allerdings nur den benoumltigten Funktionsumfang und ist keinkompletter netcat-Ersatz

Fuumlr das Einschalten des ersten Steckdosenschalters wurde der eigentliche Befehl 14 01

01 identifiziert wie schon in Tabelle 5 Als Schluumlssel wurde das Byte 00 gewaumlhlt so dassdie Exklusiv-Oder-Verknuumlpfung keine Aumlnderung durchfuumlhrt Das um die Verwaltungsbytes er-weiterte Paket wurde an das Gateway versendet und der Schalter und damit auch das ange-schlossene Geraumlt gingen an

Um dies durchzufuumlhren mussten nur das Gateway aktiv und im selben Netzwerk der Steck-dosenschalter eingesteckt und angelernt sein Fuumlr den Verbindungsaufbau zum Gateway warkein Passwort notwendig und auch sonst konnten keine Absicherungen bis auf das Exklusive-Oder identifiziert werden

Nach dem Erfolg mit dem Einschalten wurden auch das Deaktivieren und die Steuerungeines zweiten Steckdosenschalters erfolgreich erprobt Aufgrund der Beschraumlnkung von net-cat auf Textnachrichten war es allerdings notwendig fuumlr jeden Befehl netcat zu beenden underneut zu starten Die Buumlndelung von Befehlen in ein Paket war nicht erfolgreich weil dasGateway dann immer nur den ersten bearbeitete

Der Befehl 14 01 00 besteht vermutlich aus dem eigentlichen Befehl 14 hier fuumlr rdquoSchaltenrdquooder so etwas der Geraumltenummer 01 basierend auf dem Pairing und dem neuen Wert 00was hier rdquoausrdquo bedeuten soll

Byte Typ I-Net Beschreibung01 unbekannt 4 fast immer nur das erste Pakete-Paar im Mitschnitt02 unbekannt 4 nur bei zwei Paaren in Mitschnitt 2004 unbekannt 4 10 unbekannt 12 unbekannt 4 oft vorhanden viele 02-Bytes in Antwort13 unbekannt 4 oft vorhanden viele 00-Bytes in Antwort14 Steuerung 4 Geraumltezustand setzenA1 remote 4 neues Geraumlt beim Server registrierenA2 remote Gateway Login-Daten fuumlr Server mitteilenA5 remote 4 beim Server einloggenA6 remote Login-Daten werden angegeben oder FF FF FF FF 00

FB Fehler 4 Fehler

Tabelle 6 gesehene potentielle Befehlsbytes I-Net steht fuumlr rdquoim Internet gesehenrdquo

Neben 14 gibt es wohl ua noch die Befehle in Tabelle 6 Es kann nicht ausgeschlossen wer-den dass es weitere Befehle gibt oder dass Befehle auch aus mehr als einem Byte bestehenkoumlnnen

Das System bietet optional die Steuerung aus der Ferne mittels Remote-Zugriff an Diesermuss erst aktiviert werden dabei ist ein Passwort einzugeben Im Anschluss kann mittels Appder Remote-Zugriff erfolgen Findet die App nach dem Start kein Gateway des Produktes imNetzwerk bietet sie den Fernzugriff als Alternative an

Bei der Einrichtung baut die App scheinbar eine Verbindung zu einem Server im Internet ndashremote1netinfostationcom 10311731 ndash auf Das vom Benutzer per App angegebene Pass-wort wird im selben Protokoll zum Server geschickt ndash Befehlsbyte A1 ndash und als Antwort meldetdieser eine ID die die App zusammen mit dem Passwort an das Gateway weiterreicht (A2) Die-ses verbindet sich dann mit dem Server ndash Befehlsbyte A5 Bei Nutzung des Remote-Zugriffesverbindet sich auch die App mit dem Server Beide App und Gateway geben am Anfang dieGateway-ID und das Passwort an ndash offenbar als eine Art Login Erst danach kann die AppBefehle an den Server schicken der diese dem Gateway uumlbermittelt

Mit Hilfe eines selbstgeschriebenen Programmes war es moumlglich den an das Gateway an-gelernten Steckdosenschalter per Remote zu steuern Das Programm lief dabei auf einemComputer im Netz B waumlhrend das Gateway und Smartphone im Netz A angesiedelt sind ImInternet haben beide Netze eine andere IP Somit stellt der Computer einen beliebigen Rechnermit Internetzugang irgendwo auf der Welt dar

Zusammenfassend kann gesagt werden dass das System keine wirkliche Sicherheit bietetDie Exklusiv-Oder-Verknuumlpfung ist schnell identifiziert und danach gibt es keine richtigen Huumlr-den mehr Da mit Hilfe des Protokolls auch Daten uumlber das Internet gesendet werden ist dasSystem mit aktiviertem Fernzugriff angreifbar

422 EUROiSTYLE tapHOME

Waumlhrend der Untersuchungen wurde die Version 10139 der Smartphone-App verwendetLaut App war die Firmware-Version des Gateways anfangs die 100 vom 29012013 EinUpdate auf 105 wurde im Laufe der Zeit angeboten doch per App lieszlig sich dieses nichtuumlberspielen Uumlber einen anderen Weg konnte es doch eingespielt werden danach war es lautApp aber immer noch 100 jedoch vom 05112013 Es ist damit unklar ob die anfangs ange-gebene Version wirklich 100 war Es konnten keine Unterschiede vor und nach dem Updatein Hinblick auf die Evaluation festgestellt werden

Die App findet das Gateway mittels UPnP In den beiliegenden Dokumenten wird erwaumlhntdass das Gateway an einen Router mit UPnP-Faumlhigkeit angeschlossen werden muss DasrdquoUniversal Plug and Playrdquo-Protokoll war in der Vergangenheit immer wieder Grund fuumlr Sicher-heitsprobleme Die Schnittstelle meldet sich mit bdquoIntel MicroStackldquo Es fand keine Uumlberpruumlfungstatt ob auch das UPnP hier bekannte Probleme wie Buffer-Overflows ([Cisco Security Ad-visory 2013]) aufweist Neben der App koumlnnen auch Angreifer im lokalen Netzwerk ndash aberauch nach Hause telefonierende Fernseher und aumlhnliches ndash auf diese Weise von der Existenzdes Gateways erfahren

1 HTTP11 200 OK2 LOCATION http192168[]565983 EXT4 SERVER POSIX UPnP10 Intel MicroStack1018685 USN uuidcf[]upnprootdevice6 CACHE-CONTROL max-age=18007 ST upnprootdevice8

Listing 1 Antwort vom Gateway 1 bei den Stellen mit [] sind die genauen Werte entfernt

Der Verbindungsaufbau geschieht mittels mehrstufiger Kommunikation Das Smartphone sen-det eine Suchanfrage per Broadcast in das Netzwerk auf Port 1900 Darauf antwortet dasGateway mit drei Antworten dargestellt in Listing 1 2 und 3 Die Antwort kommt aber nichtvom Port 1900 sondern beispielsweise 1039 Dies aumlndert sich je nach Start

1 HTTP11 200 OK2 LOCATION http192168[]565983 EXT4 SERVER POSIX UPnP10 Intel MicroStack1018685 USN uuidcf[]6 CACHE-CONTROL max-age=18007 ST uuidcf[]8

1 HTTP11 200 OK2 LOCATION http192168[]565983 EXT4 SERVER POSIX UPnP10 Intel MicroStack1018685 USN uuidcf[]urnschemas-upnp-orgdeviceBasic16 CACHE-CONTROL max-age=18007 ST urnschemas-upnp-orgdeviceBasic18

Danach nimmt das Telefon eine Verbindung mit dem dort angegebenen Port auf dem Gatewayauf dieser kann ebenfalls bei jedem Start des Gateways ein anderer sein Dieses antwortetmit dem in 4 angegebenen XML-Block Dort stehen dann ua das Modell (ZE100-A-MS) derProduzent (Cybertan Technology Inc) und der naumlchste Port Eine besser lesbare Variantebefindet sich in Listing 5

1 HTTP10 200 OK2 CONTENT-TYPE textxml charset=utf-83 Server POSIX UPnP10 Intel MicroStack1018684

5 ltxml version=10 encoding=utf-8gtltroot xmlns=urnschemas-upnp-orgdevice-1-0gtltETHacirc

specVersiongtltmajorgt1ltmajorgtltminorgt0ltminorgtltspecVersiongtltdevicegtltdeviceTypegturnschemas-ETHacirc

upnp-orgdeviceBasic1ltdeviceTypegtltfriendlyNamegtEASYGateltfriendlyNamegtltmanufacturergtETHacirc

Cybertan Technology IncltmanufacturergtltmanufacturerURLgthttpwwwcybertancomtwltETHacirc

manufacturerURLgtltmodelDescriptiongtZwave BridgeltmodelDescriptiongtltmodelNamegtZE100-A-MSltETHacirc

modelNamegtltmodelNumbergt10ltmodelNumbergtltserialNumbergt0000001ltserialNumbergtltUDNgtuuidcfETHacirc

[]ltUDNgtltserviceListgtltservicegtltserviceTypegtltserviceTypegtltserviceIdgtltserviceIdgtltETHacirc

controlURLgtltcontrolURLgtlteventSubURLgtlteventSubURLgtltSCPDURLgtltSCPDURLgtltservicegtltETHacirc

serviceListgtltpresentationURLgthttp192168[]80ltpresentationURLgtltdevicegtltrootgt

Listing 4 Antwort vom Gateway auf direkte Anfrage Bei den Stellen mit [] sind diegenauen Werte entfernt

Auf dem nun angegebenen Port 80 laumluft ein Webserver mit dem die eigentliche Funktionalitaumltdes Gateways ermoumlglicht wird

Ist eine Verbindung aufgebaut so kommuniziert die App mit einem auf dem Gateway lau-fenden Webserver ndash per HTTP und dabei mittels CGI-Skripten Sie erfaumlhrt auf diese Weisewelche Geraumlte es gibt welche Funktion diese haben und steuern kann die App sie so auchDie Verbindung ist nicht verschluumlsselt aber bei jeder Anfrage muss eine Authentifizierung mit

den HTTP-Headern mitgeschickt werden Aufgrund des Fehlens einer Verschluumlsselung koumln-nen potentielle Angreifer diese mitlesen Zudem sind der uumlbermittelte Benutzername und dasPasswort nicht vom Benutzer generierte Daten sondern in der App hinterlegt Es handelt sichdabei um eine Standardkombination von Benutzername und Passwort und kann daher leichterraten werden

1 ltxml version=10 encoding=utf-8gt2 ltroot xmlns=urnschemas-upnp-orgdevice-1-0gt3 ltspecVersiongt4 ltmajorgt1ltmajorgt5 ltminorgt0ltminorgt6 ltspecVersiongt7 ltdevicegt8 ltdeviceTypegturnschemas-upnp-orgdeviceBasic1ltdeviceTypegt9 ltfriendlyNamegtEASYGateltfriendlyNamegt

10 ltmanufacturergtCybertan Technology Incltmanufacturergt11 ltmanufacturerURLgthttpwwwcybertancomtwltmanufacturerURLgt12 ltmodelDescriptiongtZwave BridgeltmodelDescriptiongt13 ltmodelNamegtZE100-A-MSltmodelNamegt14 ltmodelNumbergt10ltmodelNumbergt15 ltserialNumbergt0000001ltserialNumbergt16 ltUDNgtuuidcf[]ltUDNgt17 ltserviceListgt18 ltservicegt19 ltserviceTypegtltserviceTypegt20 ltserviceIdgtltserviceIdgt21 ltcontrolURLgtltcontrolURLgt22 lteventSubURLgtlteventSubURLgt23 ltSCPDURLgtltSCPDURLgt24 ltservicegt25 ltserviceListgt26 ltpresentationURLgthttp192168[]80ltpresentationURLgt27 ltdevicegt28 ltrootgt

Listing 5 lesbare Version vom XML des Gateways bei den Stellen mit [] sind die genauenWerte entfernt

Basierend auf diesen Informationen wurde versucht den Steckdosenschalter und den Steck-dosendimmer per textbasiertem netcat zu steuern Da Benutzername und Passwort bekanntsind stellt es keine groszlige Herausforderung dar Wie bereits angedeutet lassen sich nicht nurdie Geraumlte steuern sondern auch Informationen ermitteln Wird beispielsweise die Webseitehttp[IPdesGateways]cgi-binGetcgiget=SET aufgerufen so werdenin der Antwort alle angelernten Geraumlte inklusive deren ID deren Types und der von ihnenunterstuumltzten Funktionalitaumlt aufgelistet

Liste 7 zeigt einige bekannte Scripte mit ihrer vermutlichen Funktionalitaumlt Der Webserverbietet noch mehr bedeutend CGI-Scripte an wie spaumltere Analysen der Firmware zeigten

Die Suche nach offenen TCP-Ports mit nmap brachte vier verschiedene Ports zum Vor-schein Zwei davon dienen wohl dem UPnP und die anderen beiden 80 und 443 gehen zueinem Webserver Das SSL auf Port 443 liefert ein vor Jahren abgelaufenes Zertifikat fuumlr dieWebseite von CyberTAN Technology Inc folglich wird es aus mehreren Gruumlnden als nichtvertrauenswuumlrdig gemeldet

CGI BeschreibungGetcgiget=SET angelernte Geraumlte mit ID auflistengetMACcgi Informationen zum Gateway ermittelnStatuscgiZID= Informationen zu den angegebenen Geraumlten

ermittelnSwitchcgiZID= ampOP= Switch an- oder ausstellen (OP=1 oder =0)SwitchcgiZID= ampVALUE= Dimmer einstellen (0-10)ModecgiMODE=A Antwort rdquoSuccessrdquoNtilde anlernenModecgiMODE=C meldet Fehler rdquoURL incompleterdquocommand_class_switch_allcgiCOMMAND= alle Geraumlte auf einmal an- oder ausstellen

(SWITCH_ALL_ON oder SWITCH_ALL_OFF)GetSchedulecgiID= Zeitplan vom Geraumlt ermitteln

Tabelle 7 gesehene potentielle Befehle mit der entsprechenden Bedeutung

Beim Aufruf der Webseite auf Port 80 mittels eines Browsers erscheint eine Authentifizie-rungsabfrage Werden die bereits ermittelten Login-Daten angegeben so erscheint eine Web-seite Diese erweckt den Eindruck bedeutend umfangreicher zu sein als es das tapHOME-Produkt aktuell ist So sind unter anderem offenbar auch Geraumlte fuumlr Uumlberwachung der Woh-nung und Verfolgung bzw Ortung von Tieren vorgesehen Zum Zeitpunkt der Tests bestanddas tapHOME-System aus Schalter und Dimmer Doch auch fuumlr die gab es teils mehr Funktio-nalitaumlt auf der Webseite als in der Smartphone-App Der Steckdosenschalter konnte auch denEnergieverbrauch messen was auf der Webseite eingesehen werden konnte

Neben der Einbindung von Flickr auf der Webseite gibt es beispielsweise auch Google MapsFerner gibt es auch Korrespondenz zu MO-SOFT So gibt es beispielsweise den Aufruf vonhttpregmo-softcomregisterhtmlkind=meterregampurl=192168[]

amphomeid=C75[]ampmac=D0D6CC wobei regmo-softcom zu dem Zeitpunktdie IP 2117887203 hatte Der Aufruf ist vermutlich Teil von Ajax darauf deutet auch derHeader-Eintrag rdquoReferer http192168[]newAjaxouterHTMLautoSend

htmlL=1ampHOMEID=C75[]ampMAC=D0D6CCrdquo hin Die Quelle der Anfrageist der Computer auf dem die Webseite des EASYGATE betrachtet wird

Beim Aufruf des Ports 443 mit einem Browser erscheint erst die Zertifikatswarnung Nachdem die ignoriert wurde kommt die Passwortabfrage und danach wird erst die bereits bekannteWebseite angezeigt Es gibt also auch eine verschluumlsselte Variante des Systems doch sie rea-giert wesentlich langsamer vermutlich ist der gewaumlhlte Mikrocontroller mit der Verschluumlsselunguumlberfordert

Bei naumlherer Betrachtung der Webseite fallen zwei Dinge auf Auf der Hauptseite prangt groszligein vermutlich altes SwitchDIY-Logo der Firma Wintop Das hierzulande nicht erhaumlltliche Pro-dukt iGate sieht dem Gateway von tapHOME physisch sehr aumlhnlich Auf Unterwebseiten istdas Logo von Infairy der Firma MO-SOFT zu sehen Deren Hausautomatisierungs-Websys-tem sieht dem auf dem tapHOME-Gateway sehr aumlhnlich sie haben aber mehr Geraumlte als nurSteckdosenschalter und Dimmer im Angebot die ebenfalls vom Webportal unterstuumltzt werden

Trotz Suche nach Hinweisen konnten bei den Dokumenten zum Produkt keine Informationenzum oder auf das Webportal gefunden werden Viele Benutzer werden davon nichts mitbe-kommen und sich somit auch keine Gedanken um Absicherung oder irgendwelche Problememachen

Sowohl die App als auch die Weboberflaumlche bieten eine Moumlglichkeit der Zeitschaltung anAnfangs wurde nicht die Version in der App verwendet Nach der Neuinstallation der App warendie Profile weg und auch in der Weboberflaumlche wurden keine aufgelistet Es scheint als wuumlrdedie Funktionalitaumlt des Gateways an dieser Stelle nicht genutzt werden

Eine Analyse der Webzugriffe ergab dass das System kaum Kontakt ins Internet aufnimmtwenn nicht gerade der bdquoBildschirmschonerldquo des Webportals vom Gateway aktiv ist Beim Startjedoch nimmt das Gateway Kontakt zu Seiten von MO-SOFT auf und uumlbertraumlgt dabei Datenwie MAC und lokale IP

Bei der verwendeten Firmware handelt es sich wohl um ein Linux von CyberTAN Hinweiseauf die GPL oder den Lizenztext selber wurden vergebens gesucht Basierend auf den ELF-Dateien handelt es sich um eine ARM-Architektur laut dem z-Wave-Modul bzw der Linux-Bezeichnung ARMv4 Der Webserver unter usrbinwebs stellt vermutlich die CGI-Scrip-te zur Verfuumlgung Dazu zaumlhlen auch webtestcgi CameraViewcgi putHealthDatacgi command_class_protectioncgi newUsercgi getPWcgi und SetBurglarcgi Es scheint OpenSSL 097g von 2005 verwendet zu werden

Das Passwort des allmaumlchtigen root-Benutzers kann leicht erraten werden

Zusammenfassend muss festgestellt werden dass das System nahezu keinen Schutz vorAngreifern im lokalen Netzwerk bietet Da es keinen Fernzugriff gibt muss der Angreifer aller-dings erst einmal ins lokale Netzwerk gelangen beispielsweise per Schadsoftware auf den PCIst der Zugang aber erst einmal da kann der Angreifer machen was er will Im schlimmstenFall gibt der Angreifer den Port des Webportals ins Internet frei und kann dann zu jeder Zeitdie Geraumlte nutzen ndash zu denen laut Funktionalitaumlt prinzipiell auch bereits angekuumlndigte Uumlber-wachungskameras gehoumlren Es ist davon auszugehen dass viele Benutzer diesen Schadennicht ruumlckgaumlngig machen selbst wenn sie zB die Schadsoftware entdeckt und entfernt ha-ben schlieszliglich wissen sie nichts vom Webportal

Im Januar 2014 wurde eine neue Version 20141 der Smartphone-App veroumlffentlicht Dieseunterstuumltzt nun laut Liste der Aumlnderungen auch die Energiemessung Die Veroumlffentlichungkam fuumlr die Beruumlcksichtigung bei den Tests zu spaumlt

Ebenfalls im Januar wird ein aktualisierter Fahrplan auf der Webseite angegeben Nach die-sem soll ua im MaumlrzApril des Jahres 2014 der Fernzugriff aktiviert werden Die Verzoumlgerungwird mit der Vermeidung von Sicherheitsluumlcken begruumlndet [ EUROiSTYLE GmbH 2014a]

Im Maumlrz wurde eine neue Version 20146 der App veroumlffentlicht Unter anderem wurde dieMoumlglichkeit hinzugefuumlgt das Passwort des Gateways zu veraumlndern In Klammern wurde rdquomehrSicherheitrdquo angegeben [ EUROiSTYLE GmbH 2014b]

423 Gigaset Gigaset elements

Die Tests fuumlr Gigaset elements erfolgten mit der Smartphone-App-Version 113 Das Gatewayhatte eine Vorgaumlngerversion der Firmware 001000026 welche genau ist unklar

Schnell fiel auf dass das System zwangsweise Internet-Zugang benoumltigt Am ersten Testtagwar das noumltige Rechenzentrum nicht erreichbar Infolgedessen mussten die Tests abgebrochenund am naumlchsten Tag fortgesetzt werden

Die Verbindungen zu den von Gigaset genutzten Servern verwenden SSL zur Verschluumlsse-lung genauer TLS 10 In den betrachteten Stichproben wurde vom Server immer TLS_RSA_WITH_AES_128_CBC_SHA als Verfahren ausgewaumlhlt Mit BEAST-Attack und Lucky-Thirteen-Attacke gibt es potentielle Angriffe gegen den CBC-Modus bei TLS 10 ([Boumlck 2013]) GaumlngigeImplementationen von SSL-Bibliotheken sind allerdings auch gegen diese abgesichert Basie-rend auf diesen Informationen kann die Verbindung prinzipiell als sicher angesehen werden

Auch fuumlr die von der Smartphone-App aufgebauten Verbindungen zu den Servern von Gi-gaset gelten diese Aussagen Allerdings sind die Ziel-IPs andere Alle IPs stammten aus dem217150144024-Pool

In den Funktionstests wurde nach entsprechendem Aufbau das Oumlffnen und Schlieszligen derTuumlr zuverlaumlssig erkannt Bei den starken Erschuumltterungen eines simulierten Einbruchs wurdedies entsprechend gemeldet Teilweise gab der Tuumlrsensor auch eine Minute lang ein Piepenvon sich

Auch der Bewegungsmelder reagierte auf Veraumlnderungen im Raum dies wurde aber gefiltertndash wie es auch aus den FAQs zu dem Produkt hervorgeht ndash so dass nicht jede Bewegung aucheine Meldung ausloumlste

Basierend auf den Zeitstempeln wurden alle diese Meldungen immer zeitnah weitergege-ben Es war houmlchstens eine Differenz von einer Sekunde auszumachen Jedoch war es teilsnotwendig die App manuell zu aktualisieren damit diese die neuen Informationen auch mitbe-kam und beispielsweise den Alarm auch anzeigte

Anders verhaumllt es sich mit den Offline-Meldungen Antwortet ein Geraumlt einige Zeit lang nichtso generiert dies ebenfalls eine Meldung In den Untersuchungen lagen in der Regel zwischender Entfernung der Batterie und der Meldung uumlber den abwesenden Sender um die 40 MinutenIn seltenen Faumlllen waren es auch nur 30 Minuten in anderen dauerte es deutlich laumlnger EinAngreifer koumlnnte theoretisch die Funkverbindung stoumlren und dann ins Haus einbrechen Er haumlt-te so fast eine dreiviertel Stunde zum Ausraumlumen der Wohnung bevor der Besitzer uumlberhaupterst die Moumlglichkeit haumltte Verdacht zu schoumlpfen Lediglich die Abwesenheit der Basisstationwurde schon nach wenigen Minuten vermeldet Ein Kappen der Internetverbindung fuumlhrt alsonicht zum gewuumlnschten Erfolg

Waumlhrend der Tests unternahm die Basisstation den Versuch Firmwareupdates einzuspielenDies geschah anders als erwartet nicht per HTTPS sondern mit HTTP fuumlr den Erhalt derDateien Diese Update-Verbindungen waren auch die einzigen unverschluumlsselten die in demTest gesehen werden konnten

Basierend auf spaumlteren Untersuchungen konnte der wahrscheinliche Ablauf des Updatesrekonstruiert werden Das System besteht hauptsaumlchlich aus zwei Partitionen auf der einenPartition sind die ausfuumlhrbaren Dateien hinterlegt auf der anderen Daten wie die Konfigurati-onsdateien Von beiden Partitionen gibt es bdquoKopienldquo Diese beherbergen eine andere Versionder Firmware Beim Update werden die Kopien auf den neusten Stand gebracht und danachein interner Schalter geaumlndert Dieser entscheidet welches Partitionspaar aktiv ist und welchesfuumlr das naumlchste Update genutzt werden soll

Der Updatevorgang besteht aus zwei Schritten Im ersten Schritt werden die eigentlichenFirmware-Dateien aus dem Internet geladen und in die Update-Partitionen uumlberspielt Im zwei-ten Schritt werden die Daten der aktiven in die Update-Partitionen kopiert und die Konfigurationnotfalls angepasst Zum Schluss findet der Wechsel der aktiven und der Update-Partitionenstatt

Die Basisstation laumldt in regelmaumlszligigen Abstaumlnden ein Tar-Archiv aus dem Internet herunterund validiert es mit einer hinterlegten Checksumme Ist diese korrekt so wird das Paket ndash be-stehend aus ausfuumlhrbaren Dateien ndash entpackt und eine aktive Komponente ausgefuumlhrt Diesebenutzt dann wiederum die anderen Dateien des Archivs Diese Dateien dienen der Durchfuumlh-rung des Updates Fuumlr jede Version gibt es ein eigenes Tar-Archiv

Es werden weitere Dateien aus dem Internet heruntergeladen Bei diesen handelt es sichum Checksummen-Dateien mit den Namen up_vmlinuzbinsum und up_fsbinsumMit diesen werden die fuumlr das Update hinterlegten Partitionen kontrolliert Stimmen die Check-summen nicht werden die eigentlichen Firmware-Dateien aus dem Internet heruntergeladenund in die Partitionen kopiert Beim naumlchsten Durchgang stimmen dann damit die Checksum-men und es ist kein erneuter Download notwendig

Unabhaumlngig davon ob die Firmware tatsaumlchlich oder nur deren Checksummen herunterge-laden wurden meldet das System dass eine neue Firmware geladen wurde Der Nutzer mussdann noch manuell die Firmware installieren dabei werden hauptsaumlchlich ein paar Dateienkopiert und intern auf die neue Firmware gewechselt

Basierend auf diesem Vorgang wurde eine Moumlglichkeit entwickelt dem System eine andereFirmware statt der echten unterzuschieben Dazu wurde ein eigener DNS-Server aufgesetztFuumlr die Domain des Update-Servers gibt dieser die IP eines eigenen Webservers heraus an-sonsten wird die korrekte Antwort erteilt Dem System wurde danach dieser DNS-Server ge-geben Fortan liefen die SSL-Verbindungen der Basisstation noch uumlber die originalen Serverfuumlr das Update nahm die Station aber Kontakt zum eigenen Webserver auf Auf diesem wurdezwar die original Tar-Datei des Updates 001000026 hinterlegt die Firmware-Dateien warenaber andere Im Detail handelt es sich um die der Vorgaumlnger Version 001000023 Die dafuumlrnotwendigen Checksummen-Dateien wurden selber erstellt

Beim naumlchsten Update-Versuch lud die Basisstation erst die Tar-Datei danach die Check-summen-Dateien und im Anschluss die realen Firmware-Dateien Beim naumlchsten Durchgangwurden nur noch die Tar-Datei und die Checksummen-Dateien heruntergeladen Das Systemhatte die falsche Firmware akzeptiert

Die Firmware kann auch per Browser heruntergeladen werden Es handelt sich dabei um dieDateien up_vmlinuzbin und up_fsbin Die erste Datei entpuppte sich als ein Linux mit2619-Kernel ndash Ende 2006 veroumlffentlicht ndash welcher den Zusatz rdquouc1reef-dirtyrdquo traumlgt Zwar mel-

det die Firmware M68K als verwendete Prozessorarchitektur aber nach ersten Untersuchun-gen erscheint Xilinx MicroBlaze oder CR16C+ als wahrscheinlicher Die Information bzgl Mi-croBlaze entstammt der einzigen ELF-Datei die auf dem System gefunden wurde Bei libmodules2619-uc1reef-dirtykerneldriversdectrtxdect452ko handeltes sich wohl um einen proprietaumlren DECT-Treiber von RTX AS Morten Laursen Es lassen sichdort auch die Begriffe NatalieV3 und REEF finden In den ELF-Dateien wird die Architektur mithinterlegt Die Angaben zu CR16C+ entstammen der Datei usrbincoco in der der Build-Befehl hinterlegt ist Dieser beginnt mit cr16-uclinux-gcc und hat auch das -mcr16cplusFlag gesetzt Ferner ist -DSC14450 gesetzt was auf den SC14450 als Mikrocontroller hinwei-sen koumlnnte dies waumlre nicht das erste Mal dass Gigaset diesen waumlhlen wuumlrde [Mobile Dev ampDesign 2009]

Nach Extraktion des Dateisystems konnte dieses ebenfalls betrachtet werden Viele Pro-gramme werden mittels busybox in Version 1202 von Mitte 2012 umgesetzt Zu ihnen zaumlhltauch telnet ein entsprechender Dienst wird aber nur bei rdquounlockedrdquo-Systemen gestartet beider untersuchten Hardware war dies nicht der Fall Ein als rdquococordquo hinterlegtes Programm bein-haltet vermutlich OpenSSL 101b vom April 2012 Damit enthaumllt die Firmware einen veraltetenKernel und leicht veraltete Programme Besonders bei OpenSSL koumlnnte sich dies als Fehlererweisen Zusaumltzlich zu weiteren Dateien wurde auch ein Buumlndel an SSL-Zertifikate gefundenAuf diese Weise ist es prinzipiell moumlglich dass die Basisstation klassisches Man-in-the-Middlebei den SSL-Versionen mitbekommen kann

In der Datei up_fsbin befindet sich ein fast leeres JFFS2-Dateisystem In ihm befindetsich nur die leere Datei valid_fs Bei einem Update wird also ein leeres Dateisystem ange-legt in das dann die Daten wie Konfigurationsdateien hineinkopiert werden

Zusammenfassend kann gesagt werden dass Gigaset elements eine gute Basis in Punk-to IT-Sicherheit bietet Es gibt jedoch einige potentielle Gefahrenquellen die an dieser Stellenicht weiter untersucht und bei weitergehenden Untersuchungen betrachtet werden koumlnnenEinige Bedenken koumlnnte Gigaset durch die Umstellung auf TLS 12 von 2008 beheben Da sietheoretisch Client und Server kontrollieren sollte eine Umstellung auch kein Problem darstel-len Einzig die potentielle Anfaumllligkeit gegen Einspielung falscher Firmware ist bedenklich Diedafuumlr notwendigen Bedingungen werden in der Praxis allerdings wohl selten erfuumlllt sein einRisiko bleibt es aber dennoch

Mittlerweile gibt es neue Versionen der Firmware Ende Januar erschien die Version 1028und Anfang Februar 1029 Nun wird in der Tar-Datei der Download der Firmware-Versionenuumlber HTTPS durchgefuumlhrt auszliger es laufen die Versionen 1017 1026 oder 1013 In Listing6 ist der entscheidende Part dargestellt

Die dafuumlr noumltige Angabe von BAS_TAGwird vermutlich im Initialisierungs-Script etcinitdS40reefsh erstellt Entsprechender Ausschnitt ist in Listing 7 dargestellt

Somit sollte die Gefahr nur noch bei den installierten Versionen 1013 1017 und 1026oder beim Upgrade auf eine Version vor 1028 bestehen Dabei wird immer vorausgesetztdass die neue SSL-Verbindung ebenfalls sicher ist also das Programm coco beispielsweisedas Zertifikat uumlberpruumlft

154 155 Download requested file156 Use wget when ver13 or 17 or 26 coco otherwise157 $1 - name of file which is requested to be downloaded158 $2 - path where downloaded file will be saved159 DownloadFile()160 161 rm -f $2162 if [ $BAS_TAG = bas-001000017 ] || [ $BAS_TAG = bas-001000026 ] || [ $ETHacirc

BAS_TAG = bas-001000013 ]then163 LOG Basestation $BAS_TAG detected164 LOG Downloading file from rsquo$BASE_URL_HTTP$1rsquo to rsquo$2rsquo165 wget $BASE_URL_HTTP$1 -O $2166 else167 LOG Downloading file from rsquo$BASE_URL$1rsquo to rsquo$2rsquo168 coco --wget -i $BASE_URL$1 -o $2169 fi

Listing 6 Ausschnitt von fw_upgrade_funcsh aus Version 001000029

92 export BAS_TAG=lsquocat procversion | grep -w Reef BS version | cut -d rsquo -f 2lsquo93 export BAS_HASH=lsquocat procversion | grep -w Reef BS hash | cut -d rsquo -f 2lsquo

Listing 7 Ausschnitt von etcinitdS40reefsh aus der Firmware 001000026

424 REV Ritter iComfort

In den Untersuchungen wurden die Version 15 der Smartphone-App sowie die Gateway-Ver-sionen 10 und 11 verwendet Die Angaben entstammen der App

Die App und das Gateway finden sich durch UDP-Broadcast-Pakete uumlber Port 5556 Dabeisendet das Gateway Nachrichten die aus rdquoREV ICOMFORTrdquo der MAC-Adresse und eventu-ellen Statusmeldungen bestehen Eine Beispielnachricht ist in Listing 8 dargestellt

1 REV ICOMFORT2 F8-D7-BF---3 DHCPPower event occurred

Listing 8 Beispiel UDP-Broadcast vom Gateway Teile der MAC wurden durch ersetzt

Sollte das Gateway nicht gerade gestartet sein so kann auch eine Broadcast-Nachricht von derApp mit dem Inhalt rdquoDrdquo gesendet werden woraufhin das Gateway dann antwortet Angreiferim Netzwerk koumlnnen so auch versuchen das Gateway zu finden

Haben sich App und Gateway erst einmal gefunden so kommunizieren sie uumlber TCP-Port5555

Fast alle gesendeten Nachrichten haben einen URL-aumlhnlichen Aufbau Der allgemeine Auf-bau ist

[Buchstabe][[Parameter]=[Wert]][amp[Parameter]=[Wert]][]n

Ein Beispiel dafuumlr ist Sd=3Fampa=01234567 es beginnt mit einem Buchstaben hier S als deneigentlichen Befehl gefolgt von einem Fragezeichen und danach eine Liste von Parameterndie jeweils durch ein Kaufmanns-Und voneinander getrennt sind In diesem Beispiel wird der

Parameter d mit dem Wert 3F und der Parameter a mit dem Wert 01234567 uumlbergeben DenAbschluss bildet ein Linux-artiger Zeilenumbruch n bzw hexadezimal 0x0A

Die Kommunikation scheint immer textbasiert zu sein Als guumlltige Buchstaben konnten A BE F G I R S und T gesehen werden Es gibt auch W allerdings endet das Paket dann nichtauf n

Mit B kann das Gateway neu gestartet werden Tritt ein Fehler auf so wird dies mit F kennt-lich gemacht Durch G ist es moumlglich den Status eines Geraumltes abzufragen auch beginnt dieMitteilung des Status mit diesem Buchstaben Mit I koumlnnen Informationen zum Gateway ermit-telt werden wie zB die Netzwerkkonfiguration Durch R koumlnnen Informationen zu einem Geraumltangefragt werden S ermoumlglicht das Setzen eines neuen Geraumltezustandes T koumlnnte evtl dasSetzen des Zeitstempels vom Gateway sein und W wird moumlglicherweise fuumlr die Zeitschaltungverwendet Das Frame ist zu groszlig und wird deshalb geteilt

Verschiedene Befehle konnten ermittelt und mit Hilfe von netcat genutzt werden um die Ge-raumlte zu schalten Wichtig war dabei dass die App nicht laumluft Das Gateway erlaubt nur eineTCP-Verbindung gleichzeitig der Zugriff ist exklusiv Der bereits angegebene Befehl Sd=3Fampa=01234567 wuumlrde die Steckdosenleiste mit der ID 01234567 einschalten Das System ant-wortet zweimal darauf und gibt den aktuellen Zustand mit einer G-Nachricht zuruumlck Es ist zuvermuten dass die erste Antwort vom Gateway und die andere vom geschalteten Geraumlt kommtDafuumlr gibt es mehrere Indizien Eines ist die Korrektur des Wertes Wird beispielsweise d=20

hingesendet so liefert die erste Antwort diesen Wert die zweite aber den alten und das Geraumltbleibt ebenfalls unveraumlndert

1 Rh=02 Ra=FFFFFFFFampd=FFamph=0ampy=65535ampz=11111113 Rh=14 Ra=00012[]ampd=3Famph=1ampy=794ampz=00011005 Rh=26 Ra=0000D[]ampd=3Famph=2ampy=796ampz=00001007 Rh=38 Ra=FFFFFFFFampd=FFamph=3ampy=65535ampz=1111111

Listing 9 Beispiel Geraumlte abfragen bei den Stellen mit [] sind die genauen Werte entfernt

Mit Hilfe eines anderen Buchstabens ist es moumlglich die installierten Geraumlte abzufragen Dieswird mit Rh= durchgefuumlhrt Die App geht dabei die Zahlen ab 0 durch Die Zahl gibt ver-mutlich die Nummer in der internen Liste der Geraumlte an Es wurde nie gesehen dass bei 0 einsinnvoller Wert zuruumlckgegeben wurde In den Tests fing es immer erst bei 1 an Listing 9 stellteine beispielhafte Abfrage mit den entsprechenden Antworten dar Dabei sind h=1 und h=2

mit einem Geraumlt versehen Die App fragt mindestens bis h=31 ab

1 Wd=00ampz=0000000ampy=794amph=1ampa=00012[]2 Wd=00ampz=0001100ampy=794amph=1ampa=00012[]3 Wd=3fampz=0001100ampy=794amph=1ampa=00012[]4 Wd=00ampz=0000000ampy=795amph=2ampa=0000D[]5 Wd=3fampz=0000000ampy=795amph=2ampa=0000D[]6 Wd=3fampz=0000000ampy=796amph=2ampa=0000D[]7 Wd=3fampz=0000100ampy=796amph=2ampa=0000D[]

Listing 10 Beispiel fuumlr potentielle Zeitschaltungen bei den Stellen mit [] sind die genauenWerte entfernt

Waumlhrend der Tests mit der Zeitschaltung ergab sich dass die App Befehle mit W versendetBeispiele sind in Listing 10 zu sehen Das Gateway gibt an dass seine TCP-Fenster-Groumlszlige 20Byte groszlig ist Die Angaben sind aber groumlszliger also teilt wohl TCPdie App das Ganze in meh-rere Teile So wird zB zuerst Wd=00ampz=0000000ampy=7 gesendet und Wireshark gibt dortrdquoTCP Window Fullrdquo an ndash 20 von 20 Byte sind belegt Danach wird 94amph=1ampa=00012[]

gesendet So erschien es dass einige Pakete nicht mit einem Buchstaben anfangen und W

als einziger ohne endenden Zeilenumbruch gesichtet wurde Bei den Parametern gibt das zmoumlglicherweise den Tag an jede Ziffer steht dann fuumlr einen Tag der Woche

Ein weiterer existierender Befehl ist B Mit diesem laumlsst sich das Gateway neu starten EinAngreifer koumlnnte somit prinzipiell das Gateway staumlndig neu starten und dem Kaumlufer so dieBenutzung unmoumlglich machen Da allerdings der Zugriff auf das Gateway exklusiv ist reicht esauch aus dass der Angreifer eine Dauerverbindung aufbaut Somit ist die App des Benutzersnicht in der Lage Kontakt zum Gateway aufzunehmen seine Geraumlte kann er so nicht mehrsteuern

Ein Fernzugriff existiert nicht ein Angreifer ist also gezwungen erst einmal das lokale Netz-werk zu infiltrieren

Die App bot die Moumlglichkeit eines Firmware-Updates an Auch dieses wurde betrachtet dieFirmware wird in vielen kleinen Paketen per UDP an das Gateway geschickt nachdem diesesneu gestartet wurde Eine Absicherung dieser Uumlbertragung konnte nicht beobachtet werdenLediglich die Firmware selbst scheint verschluumlsselt zu sein Die Struktur laumlsst ein Verfahrenvermuten welches heutzutage nicht mehr als sicher aber fuumlr rechenschwache Geraumlte nochin Software umsetzbar ist Dies wurde nicht weiter untersucht so dass es reine Spekulationbleibt

Zusammenfassend kann gesagt werden dass sich dieses Produkt auf die Sicherheit deslokalen Netzwerkes verlaumlsst Hat der Angreifer erst einmal diese Huumlrden uumlberwunden kann ermit dem System machen was er will es gibt wohl keinerlei Absicherung Lediglich die Firmwarekann scheinbar nicht trivial ersetzt werden

425 RWE RWE SmartHome

Zum Einsatz kamen die Version 1604260 der Software und 1603560 von der Zentrale Die-se Angaben stammen aus dem Webportal Die Bezeichnung Software stammt vom HerstellerDer Benutzer bedient an sich nur Webportale oder eine App

Die Einrichtung bzw Installation beginnt uumlber ein Webportal Zu diesem Zeitpunkt muss dieZentrale bereits im Internet und mit einem Server von RWE verbunden sein Sie zeigt dann aufdem Display eine Nummer an die im Webportal zusammen mit der Seriennummer der Zen-trale angegeben werden muss Beim ersten Start der Zentrale mit Internet lud diese sofort einUpdate und war deshalb mehrere Minuten lang nicht zu benutzen Vor der ersten Einrichtungkann die Box lokal nicht genutzt werden da ein Benutzername und Passwort erwartet werdenndash beides wird erst waumlhrend der Einrichtung der Box mitgeteilt

Nach Einrichtung eines Benutzerkontos gibt es eine Weiterleitung auf ein Webportal mitSilverlight Dort ist ein Login mit dem zuvor eingerichteten Account notwendig Danach kannauch eine Version der noumltigen bdquoSoftwareldquo heruntergeladen werden welche dann auch ohne In-ternetanbindung laumluft Die Zentrale benoumltigt aber weiterhin immer dann einen Internet-Zugangwenn Aumlnderungen an der Konfiguration wie die Installation eines Geraumltes oder die Erstellungbzw Aumlnderung von Automatisierungsregeln durchgefuumlhrt werden sollen

Zusaumltzlich zu dem beschriebenen Webportal gibt es noch eine mobile Version und eineSmartphone-App Darin ist es nicht moumlglich die bestehende Konfiguration zu aumlndern Es koumln-nen nur die bestehenden Geraumlte und Regeln benutzt werden Zusaumltzlich ist wohl ein kosten-pflichtiges Abonnement fuumlr die Benutzung dieses Dienstes notwendig In dieser Variante istdann auch kein Silverlight mehr erforderlich

Die Verbindungen der einzelnen Portale wurden uumlberpruumlft Es wird zumeist SSL in der Ver-sion TLS 10 verwendet Es konnten in den Stichproben vier verschiedene Verschluumlsselungenfestgestellt werden Die drei haumlufigsten waren TLS_RSA_WITH_3DES_EDE_CBC_SHA TLS_RSA_WITH_AES_128_CBC_SHA und TLS_RSA_WITH_RC4_128_SHA Auch das Firmware-Update wird uumlber eine entsprechend gesicherte Verbindung uumlbertragen

Doch es wurden auch unverschluumlsselte Verbindungen zu relayrwe-smarthomedeentdeckt In regelmaumlszligigen Abstaumlnden von rund 15 Minuten wird dort eine Webseite aufgerufenund der Anfrage vermutlich eine Zeitangabe beigefuumlgt Der vermeintliche Zeitstempel koumlnntedie Angabe der verstrichenen Zeit in 100 ns-Intervallen ab dem 01010000 0000 Uhr seinDies ergibt sich aus der Differenz zweier Werte ndash 9169730000

10uml1000uml1000ldquo 916 973 bei einem zeitlichen

Unterschied von 917 Sekunden ndash und der groben Ruumlckrechnung eines absoluten Wertes aufdas Jahr ndash 63525384570285

p1000uml60uml60uml24uml365qlaquo 2014 38 Es scheint sich bei der HTTP-Verbindung um eine Art

Kontrolle einer Internetverbindung zu handeln da der entsprechende Server offenbar bei ei-ner ausbleibenden Verbindung mittels eines ICMP-basierten Pings auf Erreichbarkeit uumlberpruumlftwird Erhielt die Zentrale von dem Webserver eine Antwort so konnte bei den Paketmitschnit-ten kein Ping-Versuch erkannt werden

1 cat varflashar7cfg gt vartmpar7cfg2 vi vartmpar7cfg3 cat vartmpar7cfg gt varflashar7cfg4 ar7cfgchanged5 []

Listing 11 telnet-Befehle zur Anpassung

Basierend auf der fuumlr diese Untersuchung gestellten Annahme dass SSL sicher sei gibt eshier nur die eine unverschluumlsselte Verbindung als Ansatzpunkt Aus diesem Grund wurde derverwendete Router so konfiguriert dass alle Anfragen abgeblockt wurden die an die IP hin-ter relayrwe-smarthomede geschickt wurden Dies geschah indem telnet auf derFritzBox per Fake-Firmware-Update aktiviert wurde Im Anschluss wurde sich mit der Box ver-bunden und die Datei varflashar7cfg wie in Listing 11 und 12 beschrieben veraumln-dert und die Aumlnderung im laufenden Betrieb uumlbernommen Dabei wurde unter dsldpconfighighoutput accesslist der letzte Eintrag mit der IP 193258073 hinzugefuumlgt Auf die-se Weise schlagen sowohl die HTTP- als auch Ping-Versuche fehl Die ganze andere SSL-

basierte Kommunikation zu anderen Servern kann nach wie vor durchgefuumlhrt werden und findetlaut Mitschnitten auch weiterhin statt Mit 193258070 ndash servicesrwe-smarthomede ndash wurdekommuniziert Nachdem die Relay-Verbindung nicht aufgebaut werden konnte endet vorerstauch die Kommunikation Der Port wird aber nicht geschlossen Nachdem das lokale Portalnach drei Minuten geoumlffnet wurde wird die TCP-Verbindung in drei Schritten ausgehend vonder Zentrale ordnungsgemaumlszlig mit FIN beendet

1 dsldpconfig 2 security = dpsec_firewall3 filter_teredo = yes4 filter_netbios = yes5 lowinput 6 policy = permit7 accesslist =8 deny ip any 242000 2550009 deny ip any host 255255255255

10 11 lowoutput 12 policy = permit13 14 highinput 15 policy = permit16 17 highoutput 18 policy = permit19 accesslist =20 reject ip any 242000 25500021 deny ip any host 25525525525522 reject ip any 16925400 2552550023 reject ip any 193258073 25525525525524 25 forwardrules = []26

Listing 12 Ausschnitt der geaumlnderten ar7cfg-Datei bei den Stellen mit [] sind diegenauen Werte entfernt

Die Zentrale reagiert auf die Blockierung so als sei kein Internet vorhanden eine Konfigura-tion ist nun nicht mehr moumlglich Es koumlnnen also nur noch vorhandene Geraumlte und bestehendeAutomatisierungen genutzt werden Neue Geraumlte und Automatisierungsregeln koumlnnen abernicht mehr hinzugefuumlgt werden Vorhandene Regeln koumlnnen nicht mehr veraumlndert werden EinAngreifer koumlnnte auf diese Weise die Zentrale zu einer Offline-Version degradieren ohne dassdas Internet komplett weg ist Fuumlr den Angreifer waumlre es wohl leichter die komplette Internet-kommunikation der Zentrale zu unterbinden und so denselben Effekt zu erzielen

Um die Zentrale zu finden fragt das lokale Portal offenbar nach lokalen DNS-Aufloumlsungender Client-Namen smarthome01 bis smarthome10 ab Bei smarthome09fritzbox kam die IPder Zentrale zuruumlck Im Anschluss wird per TCP eine SSL-Verbindung zu 443 aufgebaut

Waumlhrend der Tests wurden immer wieder diverse Domainnamen aufgeloumlst Neben einigenmit RWE im Namen gab es auch welche von Microsoft Amazon-Cloud Symantec GeoTrustund etracker Waumlhrend GeoTrust wohl vom Smartphone stammt konnte etracker nur bei demTest dieses Produktes gesichtet werden Es ist deshalb berechtigt anzunehmen dass beimRWE Smart Home auch die Dienste des Datensammlers genutzt werden

Zur Uumlberpruumlfung der gesperrten Konfiguration bei fehlender Internetverbindung wurde dielokale Version des Webportals gestartet und auf die Zentrale eingeloggt Im Anschluss wurdedas Netzwerkkabel physisch gezogen und das Portal danach weiter bedient Waumlhrend einerkurzen Zeit war es noch moumlglich nach neuen Geraumlten suchen zu lassen und auch neue Regelnanzulegen Erst nachdem die Zentrale per Display die Abwesenheit des Internets anmerkteverweigerte auch das Portal weitere Konfigurationsversuche Die Restriktionen scheinen damitvom Hersteller vorgegeben und nicht direkt durch das gewaumlhlte Design hervorgerufen zu seinEine Konfiguration ist moumlglich solange die Zentrale nur denkt sie haumltte Internet-Zugang

Die ohne Internetverbindung angelegte Regel blieb nicht nur nach einem Neustart erhaltensondern uumlberlebte auch die Entfernung der Stromversorgung Nachdem die Zentrale wiederInternetzugriff hatte scheint sie die neue Regel auch dem Server mitgeteilt zu haben

Zusammenfassend kann gesagt werden dass RWE Smart Home basierend auf den An-nahmen dieser Untersuchungen im Groszligen und Ganzen als sicher angesehen werden kannEinzig die unverschluumlsselte Verbindung mit dem Relay-Server stellt ein theoretisches Problemdar

426 Telekom QIVICON (Smart Home)

Die waumlhrend der Tests wohl aktuelle Version 134s der Gateway-Firmware war auf dem QIVI-CON Home Base genannten Geraumlt installiert Die Smartphone-App der Telekom gab sich mitder Version 12822133 zu erkennen Der originale Name des Starter-Kits der Telekom lautetbdquoSmart Homeldquo

Fuumlr die Einrichtung des Systems ist eine Internetverbindung notwendig Sonst ist keine Nut-zung moumlglich Zu diesem Zweck ist eine Registrierung der Person inkl Wohnanschrift und desGateways beim Anbieter Pflicht Waumlhrend dieses Vorganges koumlnnen Geraumlte auch gleich an-gelernt werden Den Abschluss der Einrichtung ermoumlglicht die Installation der Telekom-Appauf der Home Base Das System sieht also Moumlglichkeiten der Erweiterung vor Laut Herstellerlassen sich nur signierte Anwendungen auf der Home Base installieren Dies wurde aber imRahmen dieser ersten Untersuchungen nicht uumlberpruumlft

Die Nutzung der Telekom-App auf dem Gateway ist zeitlich begrenzt Zusaumltzlich gibt es auchnoch eine passende Smartphone-App die aber separat aus dem entsprechenden Store her-untergeladen und installiert werden muss

Waumlhrend der kompletten Untersuchungen konnte weder ein Firmware-Update noch eineunverschluumlsselte Verbindung ins Internet oder ins lokale Netzwerk gesehen werden Es wurdescheinbar immer TLS 10 eingesetzt Als Verschluumlsselungsverfahren kam in allen StichprobenTLS_RSA_WITH_RC4_128_SHA zum Einsatz

Ist das System erst einmal eingerichtet kann es sowohl per Webportal als auch per lokalerAnbindung gesteuert und konfiguriert werden Die lokale Variante ist nach der Einrichtung auchbenutzbar wenn das System komplett ndash also auch das Gateway ndash ohne Internetzugriff ist Beider lokalen Anbindung handelt es sich um ein Webportal dessen Server das Gateway istUm es nutzen zu koumlnnen muss zB die IP des Gateways im Browser eingegeben werden

Sollte die unverschluumlsselte Webseite auf Port 80 abgerufen werden so wird automatisch aufdie verschluumlsselte HTTPS-Version auf Port 443 umgeleitet

Das Zertifikat der lokalen Webseite ist kein offizielles sondern ein selbst signiertes ZertifikatEs wird von den Browsern als unguumlltig gemeldet laumlsst sich aber akzeptieren Die Ersetzungbei einer lokalen Man-in-the-Middle-Attacke sollte somit theoretisch nicht auffallen SSL wurdeaber wie bereits gesagt nicht naumlher untersucht

Die beiden Portale das Webportal im Internet als auch das lokale sehen offenbar gleichaus und haben dieselbe Funktionalitaumlt Im Vergleich zu den anderen Produkten war der Funkti-onsumfang zu der Zeit der Untersuchungen eher marginal Die Smartphone-App mit anderemAussehen und anderer Funktionalitaumlt hatte schon mehr Umfang Doch die Zeitprofile schienennur zu greifen wenn die App zum Zeitpunkt der Umschaltung laumluft Ob dies Zufall oder die tat-saumlchliche Funktionalitaumlt war ist unklar Auch die Verbindungen der Telekom-Smartphone-Appsind verschluumlsselt

In der Standardkonfiguration sieht das System ein Netzwerk vor in dem das Gateway seineIP automatisch zugewiesen bekommt Der Hersteller hat allerdings auch vorgesehen dass ei-ne feste IP verwendet werden kann Zu diesem Zweck gilt es den Computer und das Gatewaydirekt uumlber ein Netzwerkkabel aber ohne Router und ohne Switch zu verbinden Sind Compu-ter und Home Base auf diese Art verbunden spielt die Basisstation DHCP- und DNS-ServerSie hat die IP 19216855 und der Computer bekommt 192168510 Jede DNS-Anfrage wirdmit der IP 19216855 beantwortet im Test war dies fuumlr fritzbox googlede wwwgoogledewwwgooglecom und wwwqiviconcom der Fall Die eigentliche Konfiguration findet uumlber dieWebseite httpwwwqiviconcomcgi-binluci statt auf die automatisch umgelei-tet wird Die Kommunikation ist unverschluumlsselt

Auf dem Websystem ist es nicht nur moumlglich eine IP-Adresse fest zu vergeben sondernauch die vermutlich komplette Konfiguration von der Home Base zu speichern und wiedereinzuspielen Die Daten scheinen den Entwicklern so wichtig zu sein dass fuumlr die Datei einPasswort mit Mindestqualitaumlt an Sicherheit ndash Buchstaben Zahlen und Sonderzeichen sowiemindestens sechs Zeichen ndash vergeben werden muss Vermutlich wird die Datei mit dem Pass-wort verschluumlsselt

Dies ist auch fuumlr einen Angreifer interessant koumlnnte er doch so geheime Daten herunter-laden oder die Einstellungen der Box aumlndern Doch zur Nutzung der Webseite ist ein auf derBox der Home Base aufgedruckte Kennwort anzugeben Dieses kann spaumlter noch veraumlndertwerden Dieses koumlnnte da die Webseite nicht verschluumlsselt ist bei der Eingabe abgefangenwerden Allerdings ist der Computer physisch direkt mit der Home Base verbunden ein Mit-houmlren auf dem Kabel ist schwer ein Injizieren von Netzwerkkommunikation kaum moumlglich Ineiner normalen Netzwerkkonfiguration konnte die Webseite nicht aufgerufen werden Tiefergehende Versuche wurden nicht unternommen

Eine Ausnutzung ist mit einer Kombination von Schadsoftware und Social Engineering aberdennoch theoretisch denkbar Das Opfer wird dazu gebracht den Computer und die Basissta-tion zu verbinden sowie sich auf der Webseite anzumelden

Die Untersuchungen mit nmap ergaben Linux 26X ndash bei den Details 2632-2635 ndash als Be-triebssystem des Gateways Linux klingt plausibel auch da im herunterladbaren Handbuch ua

GPLv2 erwaumlhnt wird In dieser httpwwwgnuorglicensesgpl-20html gibt esden Textabschnitt raquoFor example if you distribute copies of such a program whether gratis orfor a fee you must give the recipients all the rights that you have You must make sure thatthey too receive or can get the source code And you must show them these terms so theyknow their rights laquo Im Handbuch gibt es zwar Auflistungen der Lizenzen doch es gibt nurVerweise auf die QIVICON-Support-Webseite httpwwwqivicondesupport Der Li-zenztext und der Quelltext konnten aber anders als versprochen nicht auf der verwiesenenWebseite gefunden werden Auch eine als normaler Benutzer gestellte Supportanfrage dies-bezuumlglich blieb auch nach uumlber einem Monat unbeantwortet und der Zustand unveraumlndertEine Uumlberpruumlfung der Ergebnisse war so nicht moumlglich

Ferner brachte nmap anfangs sieben und am Ende zehn offene Ports zutage Diese sind 5380 (http) 139 (netbios-ssn) 443 (sslhttp) 445 (netbios-ssn) 7547 8081 8444 (ssl) 40044und 49152 Nicht allen konnten Dienste zugeordnet werden Jeder offene Port stellt ein poten-tielles Sicherheitsrisiko dar Doch die bloszlige Existenz der Ports ist nicht ausreichend Abseitsder Automatisierung von Armitage wurde nicht versucht potentielle Sicherheitsluumlcken bei denDiensten hinter den Ports zu finden

Zusammenfassend kann gesagt werden dass das QIVICON System basierend auf den An-nahmen der Untersuchungen sicher ist Alle Verbindungen sind verschluumlsselt mit der Aus-nahme eines extrem speziellen Falles Die genutzte Version von SSL und die gewaumlhlten Ver-schluumlsselungsmethoden koumlnnten aber noch einmal uumlberdacht werden Auch die vielen offenenPorts geben Grund fuumlr Bedenken Es bleibt aber dass waumlhrend dieser Untersuchungen nichtsPraktikables fuumlr einen Angriff gefunden werden konnte

427 Xavax MAX

Die bei den Untersuchungen verwendete Software hatte die Version 140 Das Gateway be-nutzte die in der Software hinterlegte Version

Die Software ist an sich ein Java-basierter Webserver und die Oberflaumlche ist eine WebseiteBevor allerdings die Einrichtung des Systems beginnen kann muss die Firmware des Gate-ways aktualisiert werden Zwar muss der Benutzer dies anstoszligen doch das Update ist dieeinzige Moumlglichkeit die der Benutzer hat Aus diesem Grund fanden die ganzen Tests mit derin der Software hinterlegten Firmware-Version statt Die Versionsnummer ist nicht bekannt auf-grund verschiedener Hinweise wird allerdings 119 vermutet ndash vorher war dann 10 installiertBei der Suche antwortete das Gateway Vor und nach der Aktualisierung hat sich nur das letzteByte der Antwort veraumlndert Die letzten zwei Bytes waren hexadezimal 01 00 und danach 01

13Bei dem Update selber wird die Firmware per UDP in vielen kleinen Paketen uumlber Port 23272

uumlbertragen Nach dem Update konnten die eigentlichen Tests beginnen

Damit die Software und das Gateway zusammenfinden sendet die Software mehrfach UDP-Broadcast-Pakete an jeden im Netzwerk an Port 23272 Das Gateway antwortet ebenfalls perUDP auf demselben Port Natuumlrlich koumlnnten auch Angreifer die es in das lokale Netzwerk

schaffen diese Methode verwenden um auf einen MAX Cube wie das Gateway heiszligt zutesten

Die UDP-Kommunikation ist noch umfangreicher als es bisher den Anschein erweckt Diefragende Broadcast-Nachricht enthaumllt die 19 Byte eQ3Max0I wobei 0 dasByte mit dem Wert 0 ist Die Antwort vom Gateway ist dann eQ3MaxApIHA002[]gtI wobei anstelle des [] eigentlich die letzten vier Stellen der Seriennummer stehen WeitereAnfragen haben dann den Aufbau eQ3Max0IHA002[] gefolgt von einem Buchstabenund evtl weiteren Werten Die Antwort beginnt mit eQ3MaxIHA002[] gefolgt von gtdem Buchstaben der Anfrage und weiteren Werten Die werden durch Ap oder Bl ersetztDas Ap nach eQ3Max steht wohl fuumlr Application alternativ ist Bl fuumlr Bootloader

Die jeweils einzelnen Buchstaben scheinen anzugeben worum es bei der Nachricht gehtSo scheint I nach Informationen zu fragen B fuumlr einen Neustart zu sorgen U ein Updateeinzuleiten und W die einzelnen Updatepakete einzuleiten Zusaumltzlich wurde noch N gesehen

1 3 public enum CubeUdpOpcode2 4 3 510 Identify(rsquoIrsquo) GetNetworkAddress(rsquoNrsquo) EnterBootloader(rsquoBrsquo) InitUpdate(rsquoUETHacirc

rsquo) WriteFrame(rsquoWrsquo) Reboot(rsquoRrsquo) GetNetworkConfiguration(rsquocrsquo) ETHacirc

SetNetworkConfiguration(rsquoCrsquo) GetUrl(rsquohrsquo) SetUrl(rsquoHrsquo)4 6 5 7 private char opcodeChar

Listing 13 Ausschnitt der Rekonstruktion von CubeUdpOpcodejava

In der Datei MaxLocalBackend-140jardeeq3maxallocalupdateCubeUdpOpcodeclass werden die verschiedenen Buchstaben aufgelistet Beispielsweise stehtI fuumlr Identify N fuumlr GetNetworkAddress und W fuumlr WriteFrame Zusaumltzlich zu den gesehenenBuchstaben soll es noch R c C h und H geben

Ist das Gateway erst einmal gefunden so wird eine TCP-Verbindung uumlber den Port 62910aufgebaut Uumlber diese Verbindung wird dann in Textform kommuniziert Eine Nachricht bestehtdabei aus einem Buchstaben der den Befehl oder die Art der Antwort angibt gefolgt voneinem Doppelpunkt eventuellen Parametern und am Ende einem Windows-ZeilenumbruchDie Parameter koumlnnen je nach Befehl auch aus beliebigen Binaumlrdaten bestehen Diese werdendann aber mittels Base64 in normale druckbare Zeichen umgewandelt und so in Textformuumlbertragen

Wie bei UDP gibt es auch fuumlr TCP eine Datei MaxEssentialsBackend-140jardeeq3maxalcoreIOperationCodesclass in der die verschiedenen Buchstabendefiniert sind Doch meist findet in den benutzenden Klassen erneut eine Definierung statt sodass die Vollstaumlndigkeit dieser Liste in Frage steht Der Quellcode ndash genauer ein Interface ndashlaumlsst vermuten dass es eine Administrations-Version der Software gibt bei der beispielswei-se auch das Geheimnis fuumlr die Verschluumlsselung ausgelesen und veraumlndert werden kann Einentsprechender Buchstabe konnte in der Liste nicht entdeckt werden

3 public abstract interface IOperationCodes4 5 public static final char DEVICE_LIST = rsquoLrsquo6 public static final char CONFIGURATION = rsquoCrsquo7 public static final char METADATA = rsquoMrsquo8 public static final char SET_CREDENTIALS = rsquoBrsquo9 public static final char GET_CREDENTIALS = rsquoGrsquo

10 public static final char SET_REMOTEACCESS = rsquoJrsquo11 public static final char SET_USER_DATA = rsquoPrsquo12 public static final char GET_USER_DATA = rsquoOrsquo13 public static final char CHECK_PRODUCT_ACTIVATION = rsquoVrsquo14 public static final char ACTIVATE_PRODUCT = rsquoWrsquo15 public static final String INCOMING_HELLO = H16 public static final String INCOMING_NTP_SERVER = F17 public static final String INCOMING_DEVICE_LIST = L18 public static final String INCOMING_CONFIGURATION = C19 public static final String INCOMING_METADATA = M20 public static final String INCOMING_NEW_DEVICE = N21 public static final String INCOMING_ACKNOWLEDGE = A22 public static final String INCOMING_ENCRYPTION = E23 public static final String INCOMING_DECRYPTION = D24 public static final String INCOMING_SET_CREDENTIALS = b25 public static final String INCOMING_GET_CREDENTIALS = g26 public static final String INCOMING_SET_REMOTEACCESS = j27 public static final String INCOMING_SET_USER_DATA = p28 public static final String INCOMING_GET_USER_DATA = o29 public static final String INCOMING_CHECK_PRODUCT_ACTIVATION = v30 public static final String INCOMING_ACTIVATE_PRODUCT = w31 public static final String INCOMING_SEND_DEVICE_CMD = S32 public static final String OUTGOING_URL = u33 public static final String OUTGOING_INTERVAL = i34 public static final String OUTGOING_SEND = s35 public static final String OUTGOING_METADATA = m36 public static final String OUTGOING_INCLUSION_MODE = n37 public static final String OUTGOING_CANCEL_INCLUSION_MODE = x38 public static final String OUTGOING_MORE_DATA = g39 public static final String OUTGOING_QUIT = q40 public static final String OUTGOING_ENCRYPTION = e41 public static final String OUTGOING_DECRYPTION = d42 public static final String OUTGOING_SET_CREDENTIALS = B43 public static final String OUTGOING_GET_CREDENTIALS = G44 public static final String OUTGOING_SET_REMOTEACCESS = J45 public static final String OUTGOING_SET_USER_DATA = P46 public static final String OUTGOING_GET_USER_DATA = O47 public static final String OUTGOING_CHECK_PRODUCT_ACTIVATION = V48 public static final String OUTGOING_ACTIVATE_PRODUCT = W49 public static final String OUTGOING_SEND_DEVICE_CMD = s50 public static final String OUTGOING_RESET = a51 public static final String OUTGOING_RESET_ERROR = r52 public static final String OUTGOING_DELETE_DEVICES = t53 public static final String OUTGOING_SET_PUSHBUTTON_CONFIG = w54 public static final String OUTGOING_GET_DEVICE_LIST = l55 public static final String OUTGOING_SET_URL = u56 public static final String OUTGOING_GET_CONFIGURATION = c57 public static final String OUTGOING_TIME_CONFIG = v58 public static final String OUTGOING_NTP_SERVER = f59 public static final String OUTGOING_SEND_WAKEUP = z60

Listing 14 Ausschnitt der Rekonstruktion von IOperationCodesjava

Aufgrund des textbasierten Protokolls ist es moumlglich netcat fuumlr die Kommunikation zu ver-wenden Ein Verbindungsaufbau war erfolgreich Auch die Steuerung der Heizung gelang ohne

Probleme Es ist keinerlei Authentifizierung notwendig Ist der Angreifer erst einmal ins Netz-werk gelangt so kann er das System veraumlndern wie er moumlchte

Zur Steuerung von Geraumlten oder Geraumltegruppen ist eine ID notwendig die die Geraumlte ein-deutig bestimmt Sowohl die lokal auf einem Computer installierte MAX Software als auchAngreifer muumlssen IDs ermitteln um sie verwenden zu koumlnnen Diese Arbeit nimmt das Ga-teway selber ab Sobald eine Verbindung mit dem MAX Cube aufgenommen wurde schicktdieses ungefragt so einige Daten unter anderem die IDs der Geraumlte und deren Konfigurati-on Ein Zutun des Angreifers oder der Software ist nicht notwendig Ein potentieller Angreiferbraucht somit nur Zugang zum lokalen Netzwerk und hat dann direkt alle Informationen die erzur Steuerung des Smart-Home-Systems benoumltigt

1 Anfrage sAARAAAAAAAWw=rn2 Antwort S01031rn

Listing 15 Heizung steuern einige Byte wurden zur Unkenntlichmachung durch ersetzt

Die in Listing 15 angegebene Anfragezeile stellt einen Befehl dar der zum Cube gesendetwurde Er beginnt mit s und danach kommt ein Binaumlrfeld in Base64 welches die eigentlichenDaten enthaumllt Die elf Byte Binaumlrdaten sind 00 04 40 00 00 00 03 01 7B Tabel-le 8 stellt den Aufbau des Befehls dar Wenn es sich um eine Gruppe handelt dann ist egal

00 unbekannt

Bit 7-3Ntilde unbekanntBit 2 Ntilde GruppeBit 1 Ntilde nicht GruppeBit 0 Ntilde unbekannt

40 Befehl hier 64Ntilde ControlMode00

00 unbekannt0003

Geraumlte-Funk-Adresse01 Raum-ID

Bit 7-6Ntilde Mode hier 01Ntilde PermanentBit 5-0Ntilde Temperatur hier 2CNtilde 220degC

Tabelle 8 Aufbau Binaumlrdaten des Geraumlte-Befehls wobei die beiden -Bytes die eigentlichenBytes ersetzen

welcher Wert bei der Geraumlte-Funk-Adresse steht Je nachdem was fuumlr ein Befehl es ist wer-den verschiedene Angaben gesetzt oder eben nicht Bei den unbekannten Feldern ist nichtklar ob diese bei anderen Befehlen als dem Setzen der Temperatur mit dem bdquoControlModeldquoeinen Wert haben

Die Antwort besteht aus drei Teilen durch Komma getrennt Der Datei MaxLocalBackend-140jardeeq3maxillocalcommandsDeviceSendCommandclass kannentnommen werden was die Bedeutung der Werte ist Der erste Wert ist eine Hex-Zahl derbdquoDutyCycleldquo es folgt ob der Befehl verworfen wurde und den Abschluss bildet die Angabe derfreien Speicherslots ebenfalls hexadezimal Der Befehl wurde also angenommen und entspre-chend umgesetzt

1 POST login HTTP112 Host maxeq-3de3 Connection keep-alive4 Referer httpmaxeq-3deloginjsp5 Content-Length 646 Cache-Control max-age=07 Origin httpmaxeq-3de8 Content-Type applicationx-www-form-urlencoded9 Accept texthtmlapplicationxhtml+xmlapplicationxmlq=09q=08

10 User-Agent Mozilla50 (Linux U Android 404 de-de SonyEricsson[] Build41BETHacirc

0431) AppleWebKit53430 (KHTML like Gecko) Version40 Mobile Safari5343011 Accept-Encoding gzipdeflate12 Accept-Language de-DE en-US13 Accept-Charset utf-8 iso-8859-1 utf-16 q=0714 x-wap-profile httpwapsonyericssoncomUAprof[]xml15 Cookie JSESSIONID=[]16

17 user=[]amppasswd=[]ampsubmit=ampmobile=falseampproductKey=

Listing 16 Login im Webportal hier per Smartphone bei den Stellen mit [] sind diegenauen Werte entfernt

Neben dem lokalen Zugriff gibt es auch ein Webportal welches optional verwendet werdenkann Dazu gilt es in der Software einen Benutzernamen und ein Passwort zu vergeben DieSoftware kommuniziert dann mit dem Cube und dem Server Am Ende baut das Gateway selbsteine Verbindung zum Server auf Die Uumlbertragung der Daten geschieht zwar mittels HTTPund damit im Prinzip unverschluumlsselt die eigentlichen uumlbertragenen Daten sind allerdingsverschluumlsselt Mehrere Indizien ndash wie die Nennung von AES128 im Pseudo-Quelltext dassin jeder Meldung vom Cube die ersten 16 Byte immer gleich sind und jeder Block durch 16teilbar ist ndash sprechen fuumlr AES128 als Verfahren doch dies wurde nicht naumlher untersucht DieSoftware ver- und entschluumlsselt die Daten nicht selbst Sie sendet Befehle an das Gatewaywelches dann die Arbeit uumlbernimmt Die dafuumlr verwendeten Buchstaben sind dD bzw eE Eswurde nicht untersucht ob alle Cubes eines Anbieters denselben Schluumlssel haben oder nichtSollten alle den gleichen nutzen so braumluchte ein Angreifer nur einen Cube und koumlnnte jedeKommunikation mitlesen

Das groszlige Problem stellt allerdings die andere Seite der Verbindung dar Um das Portalvon unterwegs nutzen zu koumlnnen muss sich der Anwender auf dem Webportal einloggen undkann dann dort seine Aumlnderungen vornehmen Dazu wird ein normaler Webbrowser verwen-det Auch hier geschieht die Kommunikation per HTTP und diesmal ist kein Cube vorhandender den eigentlichen Inhalt verschluumlsseln koumlnnte Dies laumluft also komplett unverschluumlsselt abEin Angreifer kann die Login-Daten abgreifen und spaumlter verwenden Listing 16 stellt den mitge-schnittenen Login dar Aber auch die Sitzungs-IDs koumlnnen gelesen werden um so die aktuelleSitzung des Benutzers gleich mitzunutzen Der Mitschnitt in Listing 17 ergab sich beispielswei-se beim Setzen der Temperatur Die Mitschnitte sind bei den immer verbreiteteren oumlffentlichenWLAN-Hot-Spots besonders einfach muss dort doch nur gelauscht werden

Die Basis der vorhandenen lokalen Software ist Java Die Programme dieser Sprache lie-gen als Bytecode vor aus dem der Quelltext wieder gewonnen werden kann Im Groszligen undGanzen fehlen dann nur die Kommentare der originalen Quelltexte Einige Ausschnitte wurdenin diesem Kapitel zwecks Demonstration bereits geliefert Eine Verschleierung des Quellcodes

mittels Obfuscation stellt fuumlr Experten kaum ein Problem dar und wurde bei der vorliegendenSoftware auch nicht durchgefuumlhrt Das Verbot des Dekompilierens durch die der Software bei-liegenden Lizenzbedingungen wird potentielle Angreifer sicher nicht davon abhalten

Nach Gewinnung des Quelltextes koumlnnte ein Angreifer diesen nutzen um fuumlr seinen Angriffalle notwendigen Befehle in Erfahrung zu bringen

1 POST dwrcallplaincallMaxRemoteApisetClientCommandsdwr HTTP112 Host maxeq-3de3 Connection keep-alive4 Referer httpmaxeq-3deindexhtml5 Content-Length 3556 Origin httpmaxeq-3de7 Content-Type textplain8 User-Agent Mozilla50 (Linux U Android 404 de-de SonyEricsson[] Build41BETHacirc

0431) AppleWebKit53430 (KHTML like Gecko) Version40 Mobile Safari534309 Accept-Encoding gzipdeflate

10 Accept-Language de-DE en-US11 Accept-Charset utf-8 iso-8859-1 utf-16 q=0712 x-wap-profile httpwapsonyericssoncomUAprof[]xml13 Cookie JSESSIONID=[]14

15 callCount=116 page=indexhtml17 httpSessionId=[]18 scriptSessionId=[]19 c0-scriptName=MaxRemoteApi20 c0-methodName=setClientCommands21 c0-id=022 c0-e2=number123 c0-e3=number16524 c0-e1=Object_MaxSetRoomPermanentModeroomIdreferencec0-e2 temperaturereferencec0-e325 c0-param0=Array[referencec0-e1]26 batchId=7

Listing 17 Aufruf zum Setzen der Temperatur bei den Stellen mit [] sind die genauenWerte entfernt

Der Zugriff auf das Gateway ist exklusiv ein zeitgleicher Zugriff lokal und per Webportal istnicht moumlglich Ein Angreifer koumlnnte so theoretisch lokal eine Verbindung aufbauen und jegli-chen Zugriff blockieren Das Gateway meldet sich selber nur ca alle fuumlnf Minuten beim ServerEs dauert deshalb einige Zeit bis eine Fehlermeldung im Webportal erscheint und ein Benut-zer sieht so anfangs nicht einmal dass er keinen Zugriff mehr hat

Zusammenfassend kann gesagt werden dass sich bei dem System wohl durchaus Gedan-ken um die Sicherheit beim Zugriff uumlber das Internet gemacht wurde Allerdings hat man nichtden kompletten Weg mit einer Verschluumlsselung bedacht so dass die Bemuumlhungen letztendlichvergebens waren Bei der Nutzung im lokalen Netzwerk verlaumlsst sich die Loumlsung komplett aufdie durch den Benutzer geschaffene Sicherheit Es gibt offenbar keine weiteren Schutzvorrich-tungen

43 Resultierende Gefahren

Die untersuchten Systeme offenbaren ungewollt eine Vielfalt an Angriffsmoumlglichkeiten Die vie-len verschiedenen Loumlsungen die alle irgendwie anders arbeiten erschweren zumindest An-greifern das Fertigen von Multitools fuumlr den Angriff Smart Home ist bisher noch kaum verbrei-tet was sich allerdings langsam aumlndert Momentan lohnt es sich fuumlr Angreifer noch nicht dieSysteme zu unterwandern Gezielte Angriffe sind aber trotzdem denkbar

Keines der getesteten Systeme konnte direkt ohne Zutun des Benutzers uumlber das Internetgesteuert werden Doch eine Entwarnung kann dennoch nicht gegeben werden Bei einigenSystemen besteht beispielsweise die Gefahr dass bei der Benutzung der Geraumlte uumlber dasInternet Login-Daten unbemerkt abgefangen werden Angreifer sind danach in der Lage dieSysteme uumlber das Internet zu steuern

Dieses und weitere Szenarien werden in allgemeiner Form im Folgenden angerissen

Die mehrfach vorgekommenen exklusiven Zugriffe ermoumlglichen es Angreifern auf leichteWeise ein System lahmzulegen Es wird eine TCP-Verbindung zu einem Port aufgebaut undgehalten und schon koumlnnen die Besitzer die bdquoKomfortfunktionenldquo fuumlr die sie die Geraumlte gekaufthaben nicht mehr benutzen Hier ist ein herstelleruumlbergreifender Angriff gut denkbar Einemoumlgliche Schadsoftware muss nur eine Liste von Ports haben die sie durchprobiert

Schwerer umzusetzen ist das Befallen des Gateways zumeist indem die komplette Firm-ware ersetzt wird Dies muss zwangsweise geraumltespezifisch geschehen Bei der momentanenVielfalt und geringen Verbreitung ist das eher unwahrscheinlich

Ein laumlstiges Aumlrgernis waumlre Schadsoftware die Systeme im lokalen Netzwerk steuert bei-spielsweise die Heizung in regelmaumlszligigen Intervallen herunterregelt und so die Wohnung aus-kuumlhlen laumlsst oder fuumlr Frostschaumlden an Leitungen sorgt Theoretisch koumlnnten sie auch einenSteckdosenschalter einschalten an dem eine eingeschaltete Herdplatte haumlngt und ein Topf mitEssen steht und dieser verkohlt und im schlimmsten Fall einen Brand ausloumlst Hier muumlsstenallerdings schon mehrere unguumlnstige Umstaumlnde zusammen kommen

Das Abgreifen von Login-Daten fuumlr Fernzugriffe stellt eine weitere Gefahr dar besonders inoumlffentlichen WLANs Hat der Angreifer die Daten erst einmal erlangt kann er sie nutzen um sichselber jederzeit als berechtigte Person auszugeben und bdquolegalldquo auf das System zuzugreifen

Ein weiteres Potential haben Geraumlte die undokumentierte Dienste beinhalten Da die Be-nutzer die Dienste nicht kennen koumlnnen sie diese auch nicht absichern Hat ein Angreifer sichdie Kontrolle daruumlber verschafft stehen die Besitzer vor einem Problem Sie sehen zwar dieErgebnisse der Uumlbernahme wie etwa eine kalte Wohnung koumlnnen sich aber den Grund nichterklaumlren die Ursache nicht ausmachen und somit nicht beheben

Durch das Mitlesen von Daten koumlnnen genau wie bei der Uumlbermittlung von Daten an dieHersteller Profile uumlber die Personen im Haushalt erstellt werden Angreifer koumlnnen diese Da-ten nutzen um Zeiten zu ermitteln in denen niemand im Haus ist und teils auch das Hauszu lokalisieren Die Profile der Anbieter wiederum sind fuumlr die Werbeindustrie aumluszligerst inter-essant und koumlnnten fuumlr den Anbieter einen monetaumlren Vorteil bieten Bei Smart-TVs konntebeispielsweise schon einen Datenfluss nach Google beobachten werden [Eikenberg 2014]

5 Informierung der Hersteller

Die Meldung sicherheitsrelevanter Ergebnisse der Untersuchung an die Hersteller sowie derenReaktion wird hier festgehalten

51 Zeitleiste

In Tabelle 9 wird die zeitliche Abfolge der Meldung der Sicherheits-Evaluation an die Herstellerund deren Reaktion darauf festgehalten

Datum Bemerkung2014-02-03 Hersteller wurden per E-Mail und PDF-Datei in Kenntnis gesetzt2014-02-05 EUROiSTYLE antwortet2014-04-25 bisher gab es noch keine weiteren Antworten

Tabelle 9 zeitliche Abfolge der Informationsweitergabe an die Hersteller

52 Antworten der Hersteller

521 EUROiSTYLE tapHOME - 2014-02-05

Es folgt eine gekuumlrzte Version der Antwort von EUROiSTYLE

[]Folgende Aumlnderungen haben wir bereits in der Umsetzung[]

- Aumlnderung des Gateway-Passworts []- Verzicht auf UPnP []

An der grundsaumltzlichen Kommunikation mit dem Gateway werden wir vorerst fest-halten muumlssen[] Auf die Moumlglichkeit das Gateway via Webinterface zu bedienenund mehr Funktionen zu verwenden haben wir bewusst in der Dokumentation ver-zichtet []

Langfristig denken wir daruumlber nach ein eigenes Gateway zu entwickeln []

6 Einschaumltzung

Die Smart-Home-Starter-Kits wurden sowohl automatisiert als auch manuell untersucht Dieautomatisierten Tests mit Nmap und Metasploit fuumlhrten zu keinen direkten Erfolgen Es wurdenzwar in mehreren Faumlllen offene Ports und moumlglicherweise ausnutzbare Schwachstellen ge-meldet eine tatsaumlchliche Ausnutzung war aber nicht moumlglich Dieser Umstand koumlnnte daraufhindeuten dass die Hersteller sich zumindest rudimentaumlr mit Sicherheit beschaumlftigt haben undIhre Systeme gegen automatisierte Angriffe gepruumlft und gesichert haben Wahrscheinlicheraber ist dass es sich lediglich um Zufall handelt und die Systeme nicht vorsaumltzlich gesichertwurden

Diese Annahme wird dadurch gestuumltzt dass die manuellen Untersuchungen in nahezu allenFaumlllen ausnutzbare Sicherheitsluumlcken zu Tage gebracht haben Wird dabei bedacht dass diebisher durchgefuumlhrten Tests relativ oberflaumlchlicher Natur waren macht dies umso deutlicherwie wenige Ressourcen in die Sicherheit der Systeme investiert wurden

Zurzeit erscheint die daraus folgende Gefaumlhrdungslage noch harmlos Zum einen sind dieGeraumlte in keinen nennenswerten Stuumlckzahlen verbreitet und zum anderen existiert kein loh-nenswertes Geschaumlftsmodell fuumlr Kriminelle mit welchem sie schnell und einfach finanziellenVorteil aus einem Angriff ziehen koumlnnten Da die Angriffe aber extrem einfach durchfuumlhrbarsind ist vorstellbar dass sie als weiteres Modul in bestehende Schadsoftware integriert wer-den AV-TEST sammelt taumlglich mehrere hunderttausend neue Varianten von Schadsoftwareein Es ist also leicht vorstellbar dass in einigen dieser Varianten auch Module zum Angriffauf Smart-Home-Anlagen integriert werden Da sich Schadsoftware ohnehin oft aus einemsbquosbquoBaukastenldquo von Modulen bedient waumlre es lediglich noumltig einen Angriff auf ein bestimmtesSmart-Home-Geraumlt einmal zu programmieren Dieser Programmcode koumlnnte dann einfach inverschiedensten Varianten von Schadsoftware eingesetzt werden Sobald die Verbreitung derSmart-Home-Geraumlte ansteigt und ein Geschaumlftsmodell fuumlr Angreifer existiert kann von einemTag auf den anderen ein massenhafter Angriff erfolgen

Schon jetzt sind lohnende Angriffsszenarien denkbarSmart-Home-Systeme die die Uumlberwachung des Wohnraums ndash insbesondere das berechtigteund unberechtigte Oumlffnen von Tuumlren und Fenstern ndash leisten koumlnnen ein Angriffsziel fuumlr Einbre-cher darstellen Zum einen kann durch Zugriff auf solche Systeme herausgefunden werden obsich jemand im Wohnraum befindet oder ob gefahrlos eingebrochen werden kann Zum ande-ren koumlnnen die Systeme manipuliert werden so dass sie dem Nutzer keinen Alarm senden

Systeme welche Steckdosen Schalter und Heizungsthermostate steuern bieten einen gro-szligen Komfortgewinn fuumlr den Nutzer Diesen Komfort koumlnnte eine Schadsoftware problemlosstoumlren indem sie die Anlage unbenutzbar macht oder die Aktionen des Nutzers veraumlndertZum Beispiel koumlnnten Thermostate herunter gedreht werden so dass die Wohnung auskuumlhltoder Frostschaumlden entstehen Es ist auch denkbar dass Schaltvorgaumlnge an Lichtschaltern undElektrogeraumlten verhindert werden und so angeschlossene elektronische Geraumlte und Lampennicht mehr benutzt werden koumlnnen Das Haus wird gewissermaszligen als Geisel genommen undbetroffene Nutzer muumlssen es gegen ein Loumlsegeld an den Angreifer freikaufen aumlhnlich wie diesogenannten BKAGEMAGVU-Trojaner heute den PC als Geisel nehmen

Die Schwachstellen und moumlglichen Angriffsszenarien die hier beispielhaft an Smart-Home-Systemen nachgewiesen wurden sind auch in anderen Geraumlteklassen zu erwarten Sie koumln-

nen dort ebenfalls Schaden anrichten der sogar uumlber das Potential der Smart-Home-Systemehinausgeht An dieser Stelle ist der Begriff des sbquoInternets der Dingeldquo zu nennen Nahezu je-des elektronische Geraumlt hat das Potential einen Mehrwert zu liefern wenn es an das Internetangeschlossen ist Viele Geraumlteklassen sind es heute schon und in Zukunft werden es nochmehr

bull Hi-Fi und TV

bull Wetterstationen

bull Haushaltsgeraumlte

bull Smart Meter

bull Smart-Home-Systeme

bull Heizungen

bull Uumlberwachungskameras

Selbst wenn die bisher genannten Schwachstellen in Smart-Home-Systemen an der einenoder anderen Stelle nur eine theoretische Gefahr darstellen sind sie ein Beispiel dafuumlr wasmoumlglich ist und woran Hersteller von Geraumlten die mit dem Internet oder einem lokalem Netz-werk verbunden sind rechnen muumlssen

Die Schwierigkeit hier ist dass es viele verschiedene Geraumlte von unterschiedlichen Her-stellern gibt Alle diese Hersteller muumlssen sich um Sicherheit kuumlmmern Es ist aber leider un-realistisch zu erwarten dass dies geschehen wird auszliger es wird entsprechende gesetzlicheVorschriften oder verbindliche Sicherheitsstandards geben

Wie die beispielhaften Untersuchungen gezeigt haben ignorieren manche Hersteller selbstgrundlegende Regeln einer sicheren Implementierung So werden Netzwerkverbindungen nichtverschluumlsselt sondern im Klartext uumlbertragen was es zum Beispiel ermoumlglicht Nutzernamenund Passwoumlrter mitzulesen Fuumlr Verbindungen ins Internet ist dies besonders kritisch Als Stei-gerung wird von manchen Systemen selbst auf eine Anmeldung durch Nutzernamen und Pass-wort verzichtet so dass jeder der Zugriff auf das lokale Netzwerk hat die Geraumlte beliebigabfragen und steuern kann

Einzelne Botnetze infizieren hunderttausende PCs und haben damit Zugriff auf das Netz-werk in dem sich der PC befindet Derart schlecht geschuumltzte Smart-Home-Systeme ndash oderGeraumlte anderer Geraumlteklassen ndash sind dann eine leichte Beute fuumlr die Schadsoftware Erschwe-rend kommt hinzu dass Sicherheitsluumlcken in eingebetteten Geraumlten nur schwer zu schlieszligensind Bei nicht wenigen Geraumlten ist eine nachtraumlgliche Erhoumlhung der Sicherheit aufgrund derbegrenzten Ressourcen nicht praktikabel So ist beispielsweise die Rechengeschwindigkeitvieler Geraumlte zu gering um nachtraumlglich eine bessere oder gar asymmetrische Verschluumls-selung einzufuumlhren wie sie etwa bei SSL vorgesehen ist Fuumlr gefundene Luumlcken gilt es Si-cherheitsupdates zu entwickeln und einzuspielen Auf normalen Computern und selbst Smart-phones sind regelmaumlszligige Updates an der Tagesordnung und vom Nutzer akzeptiert Es istallerdings fraglich ob ein Nutzer es auch akzeptieren wuumlrde regelmaumlszligig seine Heizung sein

Festnetztelefon seinen Kuumlhlschrank seinen Fernseher sein Smart-Home-System usw mitSicherheits-Updates manuell zu versorgen Ein komfortabler und vor allem automatischer aberauch sicherer Updateprozess waumlre notwendig Leider ist es wahrscheinlich dass es fuumlr vieleGeraumlte nie Updates geben wird Falls doch werden sie automatisch oder sogar nur manuelleinzuspielen sein Allerdings steht fest dass jegliche Art des Updates einen neuen Angriffs-punkt darstellen kann

Es wird demnach auch eine andere Frage aufgeworfen Wenn nicht zu erwarten ist dassalle Geraumlte zumindest ein Mindestmaszlig an Sicherheit ndash wie Authentifizierung mit Nutzernamenund Passwort sowie verschluumlsselte Kommunikation ndash bereitstellen wie koumlnnen diese Gerauml-te und das Netzwerk dann geschuumltzt werden Es koumlnnen nicht auf jedem einzelnen GeraumltSchutzloumlsungen installieren werden Dies waumlre weder vom Durchschnittsnutzer handhabbarnoch bieten diese Geraumlte genuumlgend Ressourcen Es sind also neue Konzepte notwendig diedie bereits erwaumlhnte sichere Implementierung von Anmeldung Kommunikation und Updateergaumlnzen Denn selbst wenn das Geraumlt grundlegend sicher implementiert wird ist dies keineGarantie dass nicht doch ausnutzbare Schwachstellen auftreten Es ist also denkbar dass Si-cherheitssoftware nicht mehr nur den Client wie PC oder Smartphone sondern das gesamteNetzwerk bzw allgemeiner die Verbindung vom Internet zum Netzwerk schuumltzt

Schon jetzt gibt es Meldungen dass eingebettete Geraumlte wie Ampelanlagen und Radar-fallen aber auch Industriesteuerungen uumlber das Internet infiziert und von Kriminellen in ih-rer Funktionalitaumlt manipuliert wurden Selbst Meldungen von infizierten Kuumlhlschraumlnken die fuumlrSpamversand benutzt werden fanden sich Nicht alle diese Meldungen sind mit ausreichendFakten belegt aber sie zeigen was schon heute moumlglich und denkbar ist

7 Ausblick

Schon diese einfachen Untersuchungen brachten bei einigen der untersuchten Geraumlten groumlszlige-re potentielle Sicherheitsprobleme zu Tage Tiefer gehende Evaluationen sollen folgen Nach-dem die grundlegende IP-basierte Kommunikation zu den Gateways betrachtet wurde ist dernaumlchste Schritt die genauere Analyse der SSL-Verbindungen Sind diese wie hier vorerst an-genommen wurde wirklich sicher oder gibt es Anfaumllligkeiten fuumlr Man-in-the-Middle- oder gaumln-gige SSL-Angriffe Da noch nicht zweifelsfrei feststeht ob die RC4-Verschluumlsselung wirklichgebrochen ist geschweige denn wie dies durchgefuumlhrt wird kann dieser spezielle Punkt leidernicht getestet werden

Immer mehr Hersteller draumlngen mit ihren Loumlsungen zu Smart Home auf den Markt Schonjetzt stellen die untersuchten Geraumlte nur einen sehr kleinen Teil der verfuumlgbaren Produkte daIn Zukunft wird es Tests mit weiteren Geraumlten anderer Hersteller geben

Fuumlr ein Produkt wurde schon die Moumlglichkeit des Ersetzens der Firmware erprobt Fuumlr An-greifer ist dies aumluszligerst interessant da sie so das Geraumlt komplett und dauerhaft unter ihreKontrolle bringen koumlnnen Bei komplexen Systemen wie QIVICON ist sogar Schadsoftwaredie das Geraumlt befaumlllt theoretisch denkbar Es ist daher sinnvoll solche Betrachtungen zukuumlnf-tig zu verstaumlrken Damit einher geht auch die Folge des Missbrauchs von Geraumlten fuumlr andereZwecke wie den Versand von Spam oder Bitcoin-Mining

Die Verbindungen des Gateways gehen nicht nur ins lokale Netzwerk bzw Internet DieGeraumlte selber sind meist per Funk an das Gateway angeschlossen Da diese stark lokal ein-gegrenzt sind und Angreifer sich somit in der Naumlhe der Geraumlte aufhalten muumlssten ist diese Artdes Angriffs unattraktiv Doch vor allem fuumlr Sicherheitsloumlsungen wie die von Gigaset ist einemoumlglichst unverwundbare Kommunikation wichtig AV-TEST plant zukuumlnftig auch dieses Feldabzudecken

Literatur

[ EUROiSTYLE GmbH 2014a] EUROiSTYLE GmbH (2014a) Fahrplan der Entwicklung dernaumlchsten Monate Webseite Stand 2014-02-18 Link httpwwwtaphomeeudenews-detailitemsFahrplanhtml

[ EUROiSTYLE GmbH 2014b] EUROiSTYLE GmbH (2014b) Neue Android App Version20146 verfuumlgbar Webseite Stand 2014-03-14 Link httpwwwtaphomeeudenews-detailitemsneue-android-app-version-20146-verfuegbarhtml

[Boumlck 2013] Boumlck H (2013) SSLTLS Schwaumlchen in RC4 ausnutzbar Webseite Stand2014-01-23 Link httpwwwgolemdenewsssl-tls-schwaechen-in-rc4-ausnutzbar-1303-98164-2html

[Brucke 2009] Brucke M (2009) Smart Home mit intelligenten As-sistenten Link httpswwwdkededeWirueberunsMitteilungenderDKEGeschaeftstelleDocumentsBrucke1pdf

[Cisco Security Advisory 2013] Cisco Security Advisory (2013) Portable SDK forUPnP Devices Contains Buffer Overflow Vulnerabilities Webseite Stand 2014-01-28 Link httptoolsciscocomsecuritycentercontentCiscoSecurityAdvisorycisco-sa-20130129-upnp

[Eikenberg 2014] Eikenberg R (2014) Spion im Wohnzimmer crsquot entdeckt Si-cherheitsluumlcken in zahlreichen Smart-TVs Webseite Stand 2014-01-30 LinkhttpwwwheisedesecuritymeldungSpion-im-Wohnzimmer-c-t-entdeckt-Sicherheitsluecken-in-zahlreichen-Smart-TVs-2097287html

[eQ-3 AG ] eQ-3 AG RWE Smarthome Webseite Stand 2014-01-30 Link httpwwweq-3derwe-smarthomehtml

[Goldman 2013] Goldman D (2013) Shodan The scariest search engine on the Inter-net Webseite Stand 2014-01-21 Link httpmoneycnncom20130408technologysecurityshodan

[Mobile Dev amp Design 2009] Mobile Dev amp Design (2009) SiTel Processor Picked For DECTPhones Webseite Stand 2014-02-12 Link httpmobiledevdesigncomnewssitel-processor-picked-dect-phones

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf

Verschluumlsselungen

Erprobung von Theorien

Getestete Produkte

Funktionsuumlbersicht

Produktbeschreibungen

Tabellarische Komponentenuumlbersicht

Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome

Telekom QIVICON (Smart Home)

Xavax MAX

Resultierende Gefahren

Informierung der Hersteller

Zeitleiste

Antworten der Hersteller

EUROiSTYLE tapHOME - 2014-02-05

Einschaumltzung

Ausblick

Literatur

Executive Summary

Im ersten groszligen Test von Starter-Kits fuumlr Smart-Home-Loumlsungen koumlnnen die Experten vonAV-TEST leider keine Entwarnung geben Nur 3 von 7 Kits sind gegen Angriffe gut gesichertder Rest ist gegen interne und zum Teil externe Angriffe schlecht geschuumltzt Das bedeutetmelden sich ungeschuumltzte Smart-Home-Geraumlte im Internet wird das heimische Netz durch dieHintertuumlr gekapert Die minimal geschuumltzten Smart-Home-Geraumlte wird man bald mit Trojanernangreifen die sich dann bei einem erfolgreichen Angriff nicht im PC sondern etwa im Speicherdes Rauchmelders verstecken

Ist das Smart-Home-Konzept voumlllig unsicher

Die Grundidee hinter der Smart-Home-Technik ist natuumlrlich sehr gut in Zukunft sollen sich alleKomponenten im Haushalt uumlberwachen und steuern lassen Alle Komponenten die Zugangzum heimischen Netz und dadurch vielleicht Zugriff auf das Internet haben sind potentiellangreifbar Das bedeutet aber nicht dass sie auch potentiell unsicher sind

Der aktuelle Test belegt dass einige Anbieter ihre Geraumlte nicht blindlings auf den Marktgeworfen sondern ein Sicherheitskonzept mit eingearbeitet haben

Im Test waren die folgenden Smart-Home-Kits die primaumlr durch groszlige Firmen vertriebenoder auch exklusiv angeboten werden es erfuumlllen zwar nicht alle Kits die gleichen Aufgabenim Haushalt aber vergleichbar sind sie dennoch

bull iConnect von eSaver

bull tapHOME von EUROiSTYLE

bull Gigaset Elements von Gigaset

bull iComfort von REV Ritter

bull RWE Smart Home von RWE

bull QIVICON von der Telekom

bull XAVAX MAX von Hama

3 mal sicher vs 4 mal unsicher

Das Ergebnis des Tests wird einige Hersteller hoffentlich zur Nachbesserung ihrer Produktebewegen

Die Sets Gigaset Elements RWE Smart Home und QIVICON boten im Test eine gute Absi-cherung vor An- und Eingriffen

Die Sets iComfort und tapHOME sind vor Angriffen im eigenen Netz ungeschuumltzt Die KitsiConnect und XAVAX MAX sind gegen Angriffe im eigenen Netz und von auszligen recht machtlos

Bewegungssensor

Smartphone-App

Gateway

Steckdosenschalter

(EinAus)

Online-Portal

lokales Portal

Smartphone-App

Gateway

Steckdosenschalter

(EinAus)

Rauchmelder

Smartphone-App

Gateway

(EinAus)

Smartphone-App

Gateway

Steckdosenschalter

(EinAus)

Smartphone-App

sierungrdquo

Gateway

(EinAus)

Smartphone-App

Gateway

sel EcoAuto)

Fensterkontakt

Webportal

Zu schwacherSchutz

Inhaltsverzeichnis

Executive Summary 2

1 Einleitung 7

7 Ausblick 46

Literatur 47

1 Einleitung

2 Testuumlbersicht

21 Testaufbau

FritzBox

Wireshark-PC

Netz A das Internet

Netz B

Android-Debug-PC

Smartphone

Win7-PC

WinXP-PC

Gateway

irgendein PC

Geraumlte

Server

22 Testablauf

EUROiSTYLE tapHOME

RWE RWE Smart Home

Telekom QIVICON

XAVAX MAX

4 Testergebnisse

41 Uumlbersicht

42 Details

421 eSaver iConnect

(xor)ř

FB Fehler 4 Fehler

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

Bewegungssensor

Smartphone-App

Gateway

Steckdosenschalter

(EinAus)

Online-Portal

lokales Portal

Smartphone-App

Gateway

Steckdosenschalter

(EinAus)

Rauchmelder

Smartphone-App

Gateway

(EinAus)

Smartphone-App

Gateway

Steckdosenschalter

(EinAus)

Smartphone-App

sierungrdquo

Gateway

(EinAus)

Smartphone-App

Gateway

sel EcoAuto)

Fensterkontakt

Webportal

Zu schwacherSchutz

Inhaltsverzeichnis

Executive Summary 2

1 Einleitung 7

7 Ausblick 46

Literatur 47

1 Einleitung

2 Testuumlbersicht

21 Testaufbau

FritzBox

Wireshark-PC

Netz A das Internet

Netz B

Android-Debug-PC

Smartphone

Win7-PC

WinXP-PC

Gateway

irgendein PC

Geraumlte

Server

22 Testablauf

EUROiSTYLE tapHOME

RWE RWE Smart Home

Telekom QIVICON

XAVAX MAX

4 Testergebnisse

41 Uumlbersicht

42 Details

421 eSaver iConnect

(xor)ř

FB Fehler 4 Fehler

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

Bewegungssensor

Smartphone-App

Gateway

Steckdosenschalter

(EinAus)

Online-Portal

lokales Portal

Smartphone-App

Gateway

Steckdosenschalter

(EinAus)

Rauchmelder

Smartphone-App

Gateway

(EinAus)

Smartphone-App

Gateway

Steckdosenschalter

(EinAus)

Smartphone-App

sierungrdquo

Gateway

(EinAus)

Smartphone-App

Gateway

sel EcoAuto)

Fensterkontakt

Webportal

Zu schwacherSchutz

Inhaltsverzeichnis

Executive Summary 2

1 Einleitung 7

7 Ausblick 46

Literatur 47

1 Einleitung

2 Testuumlbersicht

21 Testaufbau

FritzBox

Wireshark-PC

Netz A das Internet

Netz B

Android-Debug-PC

Smartphone

Win7-PC

WinXP-PC

Gateway

irgendein PC

Geraumlte

Server

22 Testablauf

EUROiSTYLE tapHOME

RWE RWE Smart Home

Telekom QIVICON

XAVAX MAX

4 Testergebnisse

41 Uumlbersicht

42 Details

421 eSaver iConnect

(xor)ř

FB Fehler 4 Fehler

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

Bewegungssensor

Smartphone-App

Gateway

Steckdosenschalter

(EinAus)

Online-Portal

lokales Portal

Smartphone-App

Gateway

Steckdosenschalter

(EinAus)

Rauchmelder

Smartphone-App

Gateway

(EinAus)

Smartphone-App

Gateway

Steckdosenschalter

(EinAus)

Smartphone-App

sierungrdquo

Gateway

(EinAus)

Smartphone-App

Gateway

sel EcoAuto)

Fensterkontakt

Webportal

Zu schwacherSchutz

Inhaltsverzeichnis

Executive Summary 2

1 Einleitung 7

7 Ausblick 46

Literatur 47

1 Einleitung

2 Testuumlbersicht

21 Testaufbau

FritzBox

Wireshark-PC

Netz A das Internet

Netz B

Android-Debug-PC

Smartphone

Win7-PC

WinXP-PC

Gateway

irgendein PC

Geraumlte

Server

22 Testablauf

EUROiSTYLE tapHOME

RWE RWE Smart Home

Telekom QIVICON

XAVAX MAX

4 Testergebnisse

41 Uumlbersicht

42 Details

421 eSaver iConnect

(xor)ř

FB Fehler 4 Fehler

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

Inhaltsverzeichnis

Executive Summary 2

1 Einleitung 7

7 Ausblick 46

Literatur 47

1 Einleitung

2 Testuumlbersicht

21 Testaufbau

FritzBox

Wireshark-PC

Netz A das Internet

Netz B

Android-Debug-PC

Smartphone

Win7-PC

WinXP-PC

Gateway

irgendein PC

Geraumlte

Server

22 Testablauf

EUROiSTYLE tapHOME

RWE RWE Smart Home

Telekom QIVICON

XAVAX MAX

4 Testergebnisse

41 Uumlbersicht

42 Details

421 eSaver iConnect

(xor)ř

FB Fehler 4 Fehler

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

1 Einleitung

2 Testuumlbersicht

21 Testaufbau

FritzBox

Wireshark-PC

Netz A das Internet

Netz B

Android-Debug-PC

Smartphone

Win7-PC

WinXP-PC

Gateway

irgendein PC

Geraumlte

Server

22 Testablauf

EUROiSTYLE tapHOME

RWE RWE Smart Home

Telekom QIVICON

XAVAX MAX

4 Testergebnisse

41 Uumlbersicht

42 Details

421 eSaver iConnect

(xor)ř

FB Fehler 4 Fehler

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

2 Testuumlbersicht

21 Testaufbau

FritzBox

Wireshark-PC

Netz A das Internet

Netz B

Android-Debug-PC

Smartphone

Win7-PC

WinXP-PC

Gateway

irgendein PC

Geraumlte

Server

22 Testablauf

EUROiSTYLE tapHOME

RWE RWE Smart Home

Telekom QIVICON

XAVAX MAX

4 Testergebnisse

41 Uumlbersicht

42 Details

421 eSaver iConnect

(xor)ř

FB Fehler 4 Fehler

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

2 Testuumlbersicht

21 Testaufbau

FritzBox

Wireshark-PC

Netz A das Internet

Netz B

Android-Debug-PC

Smartphone

Win7-PC

WinXP-PC

Gateway

irgendein PC

Geraumlte

Server

22 Testablauf

EUROiSTYLE tapHOME

RWE RWE Smart Home

Telekom QIVICON

XAVAX MAX

4 Testergebnisse

41 Uumlbersicht

42 Details

421 eSaver iConnect

(xor)ř

FB Fehler 4 Fehler

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

22 Testablauf

EUROiSTYLE tapHOME

RWE RWE Smart Home

Telekom QIVICON

XAVAX MAX

4 Testergebnisse

41 Uumlbersicht

42 Details

421 eSaver iConnect

(xor)ř

FB Fehler 4 Fehler

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

EUROiSTYLE tapHOME

RWE RWE Smart Home

Telekom QIVICON

XAVAX MAX

4 Testergebnisse

41 Uumlbersicht

42 Details

421 eSaver iConnect

(xor)ř

FB Fehler 4 Fehler

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

EUROiSTYLE tapHOME

RWE RWE Smart Home

Telekom QIVICON

XAVAX MAX

4 Testergebnisse

41 Uumlbersicht

42 Details

421 eSaver iConnect

(xor)ř

FB Fehler 4 Fehler

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

EUROiSTYLE tapHOME

RWE RWE Smart Home

Telekom QIVICON

XAVAX MAX

4 Testergebnisse

41 Uumlbersicht

42 Details

421 eSaver iConnect

(xor)ř

FB Fehler 4 Fehler

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

EUROiSTYLE tapHOME

RWE RWE Smart Home

Telekom QIVICON

XAVAX MAX

4 Testergebnisse

41 Uumlbersicht

42 Details

421 eSaver iConnect

(xor)ř

FB Fehler 4 Fehler

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

EUROiSTYLE tapHOME

RWE RWE Smart Home

Telekom QIVICON

XAVAX MAX

4 Testergebnisse

41 Uumlbersicht

42 Details

421 eSaver iConnect

(xor)ř

FB Fehler 4 Fehler

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

4 Testergebnisse

41 Uumlbersicht

42 Details

421 eSaver iConnect

(xor)ř

FB Fehler 4 Fehler

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

42 Details

421 eSaver iConnect

(xor)ř

FB Fehler 4 Fehler

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

421 eSaver iConnect

(xor)ř

FB Fehler 4 Fehler

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

FB Fehler 4 Fehler

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

427 Xavax MAX

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

00 unbekannt

00 unbekannt0003

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

51 Zeitleiste

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

6 Einschaumltzung

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

bull Hi-Fi und TV

bull Smart Meter

bull Heizungen

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

7 Ausblick

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur

Literatur

Executive Summary

Einleitung

Testuumlbersicht

Testaufbau

Testablauf



Getestete Produkte




Testergebnisse

Uumlbersicht

Details

eSaver iConnect

EUROiSTYLE tapHOME


REV Ritter iComfort

RWE RWE SmartHome


Xavax MAX



Zeitleiste



Einschaumltzung

Ausblick

Literatur